You are on page 1of 141

COSO

Sumrio Executivo Estrutura

Gerenciamento de Riscos Corporativos Estrutura Integrada

Copyright 2007 Committee of Sponsoring Organizations of the Treadway Commission. 1 2 3 4 5 6 7 8 9 0 MPI 0 9 8 7 6 5


Cpias adicionais de Gerenciamento de Riscos na Empresa Estrutura Integrada: Sumrio Executivo e Estrutura e Gerenciamento de Riscos na Empresa Integrated Framework: Application Techniques, 2 vol. set, item # 990015 podero ser solicitadas atravs do telefone 1- 888 -777-7077 ou no site da Internet www.cpa2biz.com. Todos os direitos reservados. Para informaes sobre autorizao para reimpresso, solicita-se entrar em contato com (201) 938- 3245. O site da Internet www.aicpa.org/cpyright.htm disponibiliza formulrios para solicitar autorizao. Caso contrrio, as solicitaes podem ser enviadas por escrito e endereadas a Permissions Editor, AICPA, Harborside Financial Center, 201 Plaza Three, Jersey City, NJ 07311-3881.

COSO
Sumrio Executivo Estrutura

Gerenciamento de Riscos Corporativos Estrutura Integrada

Committee of Sponsoring Organizations of the Treadway Commission (COSO)


Superviso
Presidncia do COSO American Accounting Association American Institute of Certified Public Accountants Financial Executives International Institute of Management Accountants The Institute of Internal Auditors

Representante
John J. Flaherty Larry E. Rittenberg Alan W. Anderson John P. Jessup Nicholas S. Cyprus Frank C. Minter Dennis L. Neider William G. Bishop, III David A. Richards

Conselho Consultivo do COSO para o Projeto


Orientao
Tony Maki Scio Moss Adams LLP Mark S. Beasley Professor Catedrtico North Carolina State University Jerry W. DeFoor Vice-presidente e Controller Protective Life Corporation James W. DeLoach Diretor Administrativo Protiviti Inc. Andrew J. Jackson Vice-presidente Snior de Enterprise Risk Assurance Services American Express Company Steven E. Jameson Vice-presidente Executivo, Responsvel pela Auditoria Interna e Responsvel pelo Setor de Riscos do Community Trust Bancorp, Inc. John P. Jessup Vice Presidente e Tesoureiro E. I. duPont de Nemours and Company Tony M. Knapp Vice-presidente Snior e Controller Motorola, Inc. Douglas F. Prawitt Professor Catedrtico Brigham Young University

PricewaterhouseCoopers LLP
Autor Principais Colaboradores
Richard M. Steinberg Ex-scio e Lder de Exerccio de Autoridade Corporativa (Atualmente Steinberg Consultores de Exerccio de Autoridade) Frank J. Martens Gerente Snior, Servios a Clientes Vancouver, Canad Miles E.A. Everson Scio e Servios Financeiros Finanas, Operaes, Lder do Setor de Riscos e Conformidade New York, EUA Lucy E. Nottingham Gerente, Servios Internos de Empresa Boston, EUA

Prefcio

H mais de uma dcada, o Committee of Sponsoring Organizations of the Treadway Commission (COSO) publicou a obra Internal Control Integrated Framework para ajudar empresas e outras organizaes a avaliar e aperfeioar seus sistemas de controle interno. Desde ento, a referida estrutura foi incorporada em polticas, normas e regulamentos adotados por milhares de organizaes para controlar melhor suas atividades visando o cumprimento dos objetivos estabelecidos. Nos ltimos anos, intensificou-se o foco e a preocupao com o gerenciamento de riscos, e tornou-se cada vez mais clara a necessidade de uma estratgia slida, capaz de identificar, avaliar e administrar riscos. Em 2001, o COSO1 iniciou um projeto com essa finalidade e solicitou PricewaterhouseCoopers que desenvolvesse uma estratgia de fcil utilizao pelas organizaes para avaliar e melhorar o prprio gerenciamento de riscos. O perodo de desenvolvimento dessa estrutura foi marcado por uma srie de escndalos e quebras de negcios de grande repercusso, que gerou prejuzos de grande monta a investidores, empregados e outras partes interessadas. Na esteira desses eventos, vieram solicitaes de melhoria dos processos de governana corporativa e gerenciamento de riscos, por meio de novas leis, regulamentos e de padres a serem seguidos. A necessidade de uma estrutura de gerenciamento de riscos corporativos, capaz de fornecer os princpios e conceitos fundamentais, com uma linguagem comum, direcionamento e orientao claros, tornou-se ainda mais necessria. O COSO da opinio que a presente obra Gerenciamento de Riscos Corporativos Estrutura Integrada vem para preencher essa lacuna e espera que ela seja amplamente adotada pelas empresas e por outras organizaes, bem como por todas as partes interessadas. Nos Estados Unidos, entre as conseqncias, destacam-se o Ato Sarbanes-Oxley de 2002 e a legislao semelhante que est sendo promulgada ou analisada em outros pases. Essa lei amplia a exigncia de que as companhias abertas mantenham sistemas de controle interno, demandem a certificao da administrao e contratem os servios de auditores independentes para atestar a eficcia dos referidos sistemas. A obra Internal Control Integrated Framework, que vem sendo submetida ao teste do tempo, serve como norma de ampla aceitao para o atendimento dos requisitos de comunicao. A obra Gerenciamento de Riscos Corporativos Estrutura Integrada, amplia seu alcance em controles internos, oferecendo um enfoque mais vigoroso e extensivo no tema mais abrangente de gerenciamento de riscos corporativos. A presente estrutura de gerenciamento de riscos corporativos, embora no tenha por meta substituir a estrutura de controles internos das organizaes, incorpor a estrutura de controle interno em seu contedo e, a poder ser por estas utilizada, tanto para atender s suas necessidades de controle interno quanto para adotar um processo completo de gerenciamento de riscos. Entre os principais crticos s administraes est a determinao da extenso do risco que a organizao est preparada para enfrentar e disposta a aceitar na medida em que se empenha para agregar valor. A presente publicao possibilitar melhores condies para enfrentar esse desafio.

John J. Flaherty Presidente, Coso

Tony Maki Presidente do Conselho Consultivo

COSO The Committee of Sponsoring Organizations of the Treadway Commission

Introduo edio brasileira

Temos a satisfao de apresentar ao pblico de lngua portuguesa, a traduo da verso original em ingls da publicao Gerenciamento de Riscos Corporativos Estrutura Integrada emitido pelo Committee of Sponsoring Organization of the Treadway Commission (COSO) com a colaborao da PricewaterhouseCoopers. Essa publicao tem o objetivo de ser considerado como um modelo conceitual para o gerenciamento de riscos corporativos, proporcionando as diretrizes para a evoluo e aprimoramento do gerenciamento de riscos e dos procedimentos para sua anlise. O COSO formado por representantes da American Accounting Association, American Institute of Certified Public Accountants, Financial Executives Internationl, Institute of Managements Accountants e pelo Institute of Internal Auditors, ao qual est ligado a AUDIBRA Instituto dos Auditores Internos do Brasil, atravs da FLAI Federao latino-americana de Auditores Internos. A AUDIBRA, juntamente com a PricewaterhouseCoopers prepararam a presente publicao destinada aos profissionais de auditoria interna, auditoria externa, gerenciamento de riscos, controles internos, rgos reguladores, conselheiros e administradores em geral visando difundir os conceitos de riscos corporativos definidos pelo Comit Consultivo do COSO. A primeira parte contm o sumrio executivo e a estrutura, onde so descritos os componentes essenciais do gerenciamento de riscos corporativos, seus princpios e conceitos-chave, possibilitando uma linguagem comum. A segunda parte contm as tcnicas de aplicao, descrevendo exemplos relacionados com cada um dos componentes, de forma a facilitar sua aplicao. Tambm so apresentados os elementos de controle interno anteriormente descritos pelo COSO no ano de 1992, ampliando o componente de avaliao de riscos, considerando que para que haja gerenciamento de riscos corporativos seja eficaz, deve existir controles internos efetivos. Finalmente, agradecemos aos profissionais da AUDIBRA e da PricewaterhouseCoopers que atravs de seu esforo e dedicao, tornaram essa traduo possvel.

Rogrio Roberto Gollo Scio da PricewaterhouseCoopers Governance, Risk and Compliance

Oswaldo Basile Presidente AUDIBRA Instituto dos Auditores Internos do Brasil

Sumrio

Sumrio Executivo Estrutura


1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Definio Ambiente Interno Fixao de Objetivos Identificao de Eventos Avaliao de Riscos Resposta aos Riscos Atividades de Controle Informao e Comunicao Monitoramento Funes e Responsabilidades Limitaes do Gerenciamento de Riscos Corporativos O Que Fazer

3 11
13 27 37 45 53 61 67 75 83 91 101 105

Apndices
A. B. C. D. E. F. G. Objetivos e Metodologia Resumo dos Princpios Fundamentais Relao entre Gerenciamento de Riscos Corporativos Estrutura Integrada e Controle Interno - Estrutura Integrada Bibliografia Selecionada Considerao aos Comentrios Recebidos Glossrio Agradecimentos 107 109 119 123 125 131 135

COSO
Sumrio Executivo

Gerenciamento de Riscos Corporativos Estrutura Integrada

Sumrio Executivo

Sumrio Executivo

A premissa inerente ao gerenciamento de riscos corporativos que toda organizao existe para gerar valor s partes interessadas. Todas as organizaes enfrentam incertezas, e o desafio de seus administradores determinar at que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforo para gerar valor s partes interessadas. Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficcia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor. O valor maximizado quando a organizao estabelece estratgias e objetivos para alcanar o equilbrio ideal entre as metas de crescimento e de retorno de investimentos e os riscos a elas associados, e para explorar os seus recursos com eficcia e eficincia na busca dos objetivos da organizao. O gerenciamento de riscos corporativos tem por finalidade: Alinhar o apetite a risco com a estratgia adotada os administradores avaliam o apetite a risco da organizao ao analisar as estratgias, definindo os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos. Fortalecer as decises em resposta aos riscos o gerenciamento de riscos corporativos possibilita o rigor na identificao e na seleo de alternativas de respostas aos riscos - como evitar, reduzir, compartilhar e aceitar os riscos. Reduzir as surpresas e prejuzos operacionais as organizaes adquirem melhor capacidade para identificar eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou prejuzos associados. Identificar e administrar riscos mltiplos e entre empreendimentos toda organizao enfrenta uma gama de riscos que podem afetar diferentes reas da organizao. A gesto de riscos corporativos possibilita uma resposta eficaz a impactos inter relacionados e, tambm, respostas integradas aos diversos riscos. Aproveitar oportunidades pelo fato de considerar todos os eventos em potencial, a organizao posiciona-se para identificar e aproveitar as oportunidades de forma proativa. Otimizar o capital a obteno de informaes adequadas a respeito de riscos possibilita administrao conduzir uma avaliao eficaz das necessidades de capital como um todo e aprimorar a alocao desse capital.

Essas qualidades, inerentes ao gerenciamento de riscos corporativos ajudam os administradores a atingir as metas de desempenho e de lucratividade da organizao, e evitam a perda de recursos. O gerenciamento de riscos corporativos contribui para assegurar comunicao eficaz e o cumprimento de leis e regulamentos, bem como evitar danos reputao da organizao e suas conseqncias. Em suma, o gerenciamento de riscos corporativos ajuda a organizao a atingir seus objetivos e a evitar os perigos e surpresas em seu percurso.

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Eventos Riscos e Oportunidades


Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo representam riscos que podem impedir a criao de valor ou mesmo destruir o valor existente. Os de impacto positivo podem contrabalanar os de impacto negativo ou podem representar oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar favoravelmente a realizao dos objetivos, apoiando a criao ou a preservao de valor. A direo da organizao canaliza as oportunidades para seus processos de elaborao de estratgias ou objetivos, formulando planos que visam ao aproveitamento destes.

Definio de Gerenciamento de Riscos Corporativos


O gerenciamento de riscos corporativos trata de riscos e oportunidades que afetam a criao ou a preservao de valor, sendo definido da seguinte forma: O gerenciamento de riscos corporativos um processo conduzido em uma organizao pelo conselho de administrao, diretoria e demais empregados, aplicado no estabelecimento de estratgias, formuladas para identificar em toda a organizao eventos em potencial, capazes de afet-la, e administrar os riscos de modo a mant-los compatvel com o apetite a risco da organizao e possibilitar garantia razovel do cumprimento dos seus objetivos. Essa definio reflete certos conceitos fundamentais. O gerenciamento de riscos corporativos : um processo contnuo e que flui atravs da organizao; conduzido pelos profissionais em todos os nveis da organizao; aplicado definio das estratgias; aplicado em toda a organizao, em todos os nveis e unidades, e inclui a formao de uma viso de portflio de todos os riscos a que ela est exposta; formulado para identificar eventos em potencial, cuja ocorrncia poder afetar a organizao, e para administrar os riscos de acordo com seu apetite a risco; capaz de propiciar garantia razovel para o conselho de administrao e a diretoria executiva de uma organizao; orientado para a realizao de objetivos em uma ou mais categorias distintas, mas dependentes.

Essa definio intencionalmente ampla e adota conceitos fundamentais sobre a forma como as empresas e outras organizaes administram riscos, possibilitando uma base para sua aplicao em organizaes, indstrias e setores. O gerenciamento de riscos corporativos orienta seu enfoque diretamente para o cumprimento dos objetivos estabelecidos por uma organizao especfica e fornece parmetros para definir a eficcia desse gerenciamento de riscos.

PricewaterhouseCoopers

Sumrio Executivo

Realizao de Objetivos
Com base na misso ou viso estabelecida por uma organizao, a administrao estabelece os planos principais, seleciona as estratgias e determina o alinhamento dos objetivos nos nveis da organizao. Essa estrutura de gerenciamento de riscos corporativos orientada a fim de alcanar os objetivos de uma organizao e so classificados em quatro categorias: Estratgicos metas gerais, alinhadas com o que suportem sua misso. Operaes utilizao eficaz e eficiente dos recursos. Comunicao confiabilidade de relatrios. Conformidade cumprimento de leis e regulamentos aplicveis.

Essa classificao possibilita um enfoque nos aspectos distintos do gerenciamento de riscos de uma organizao. Apesar de essas categorias serem distintas, elas se inter-relacionam, uma vez que determinado objetivo pode ser classificado em mais de uma categoria, tratam de necessidades diferentes da organizao e podem permanecer sob a responsabilidade direta de diferentes executivos. Essa classificao tambm permite diferenciar o que pode ser esperado de cada categoria de objetivos. A salvaguarda dos recursos, outra categoria utilizada por algumas organizaes, tambm descrita. Em razo do fato dos objetivos relacionados com a confiabilidade de relatrios e o cumprimento de leis e regulamentos estarem sob controle da organizao, pode-se esperar que o gerenciamento de riscos corporativos fornea uma garantia razovel em relao ao atendimento desses objetivos. Entretanto, a realizao de objetivos estratgicos e operacionais est sujeita ao de eventos externos nem sempre sob o controle da organizao; da mesma forma, em relao a esses objetivos, o gerenciamento de riscos corporativos capaz de propiciar uma garantia razovel que a diretoria executiva e o conselho de administrao, na funo de superviso, sero informados, no momento adequado, o quanto a organizao est avanando na direo do atendimento dos objetivos.

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Componentes do Gerenciamento de Riscos Corporativos


O gerenciamento de riscos corporativos constitudo de oito componentes inter-relacionados, pela qual a administrao gerncia a organizao, e esto integrados com o processo de gesto. Esses componentes so: Ambiente Interno o ambiente interno compreende o tom de uma organizao e fornece a base pela qual os riscos so identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores ticos, alm do ambiente em que estes esto. Fixao de Objetivos os objetivos devem existir antes que a administrao possa identificar os eventos em potencial que podero afetar a sua realizao. O gerenciamento de riscos corporativos assegura que a administrao disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a misso da organizao e sejam compatveis com o seu apetite a riscos. Identificao de Eventos os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organizao devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades so canalizadas para os processos de estabelecimento de estratgias da administrao ou de seus objetivos. Avaliao de Riscos os riscos so analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual devero ser administrados. Esses riscos so avaliados quanto sua condio de inerentes e residuais. Resposta a Risco a administrao escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando - desenvolvendo uma srie de medidas para alinhar os riscos com a tolerncia e com o apetite a risco. Atividades de Controle polticas e procedimentos so estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficcia. Informaes e Comunicaes as informaes relevantes so identificadas, colhidas e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicao eficaz tambm ocorre em um sentido mais amplo, fluindo em todos nveis da organizao. Monitoramento a integridade da gesto de riscos corporativos monitorada e so feitas as modificaes necessrias. O monitoramento realizado atravs de atividades gerenciais contnuas ou avaliaes independentes ou de ambas as formas. A rigor, o gerenciamento de riscos corporativos no um processo em srie pelo qual um componente afeta apenas o prximo. um processo multidirecional e interativo segundo o qual quase todos os componentes influenciam os outros.

PricewaterhouseCoopers

Sumrio Executivo

Relacionamento entre Objetivos e Componentes


Existe um relacionamento direto entre os objetivos, que uma organizao empenha-se em alcanar, e os componentes do gerenciamento de riscos corporativos, que representam aquilo que necessrio para o seu alcance. Esse relacionamento apresentado em uma matriz tridimensional em forma de cubo. As quatro categorias de objetivos (estratgicos, operacionais, de comunicao e conformidade) esto representadas nas colunas verticais. Os oito componentes nas linhas horizontais e as unidades de uma organizao na terceira dimenso. Essa representao ilustra a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma organizao, ou na categoria de objetivos, componentes, unidade da organizao ou qualquer um dos subconjuntos.

Eficcia
A determinao do grau de eficcia do gerenciamento de riscos corporativos de uma organizao corresponde ao julgamento decorrente da avaliao da presena e da eficcia do funcionamento dos oito componentes. Desse modo, os componentes tambm so critrios para o gerenciamento eficaz de riscos corporativos. Para que os componentes possam estar presentes e funcionar adequadamente, no poder haver fraquezas significantes, e os riscos necessitam ser enquadrados no apetite a risco da organizao. Quando se constata que o gerenciamento de riscos corporativos eficaz em cada uma das quatro categorias de objetivos, isso significa que o conselho de administrao e a diretoria executiva tero garantia razovel de que entenderam at que ponto, os objetivos estratgicos e operacionais no esto realmente sendo alcanados, o sistema de comunicao da empresa confivel, e todas as leis e regulamentos cabveis esto sendo observados. Os oito componentes no funcionaro de forma idntica em todas as organizaes. A sua aplicao em organizaes de pequeno e mdio portes, por exemplo, poder ser menos formal e menos estruturada. No obstante, as pequenas organizaes podem apresentar um gerenciamento de riscos eficaz, desde que cada um de seus componentes esteja presente e funcionando adequadamente.

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Limitaes
A despeito de oferecer importantes benefcios, o gerenciamento de riscos corporativos est sujeito a limitaes. Alm dos fatores discutidos anteriormente, as limitaes originam-se do fato de que o julgamento humano, no processo decisrio, pode ser falho, as decises de respostas a risco e o estabelecimento dos controles necessitam levar em conta os custos e benefcios relativos. Podem ocorrer falhas causadas por erro ou engano humano, os controles podem ser anulados por conluio entre duas ou mais pessoas, e a administrao tem o poder de recusar-se a aceitar as decises de gesto de riscos. Essas limitaes impedem que o conselho de administrao e a diretoria executiva tenham absoluta garantia da realizao dos objetivos da organizao.

Funes e Responsabilidades
Cada um dos empregados de uma organizao tem uma parcela de responsabilidade no gerenciamento de riscos corporativos. O presidenteexecutivo o principal responsvel e deve assumir a responsabilidade da iniciativa. Cabe aos outros diretores executivos apoiar a filosofia de administrao de riscos da organizao, incentivar a observao de seu apetite a risco e administrar os riscos dentro de suas esferas de responsabilidade, conforme as tolerncias a risco. Via de regra, cabe ao diretor de riscos, diretor-financeiro, auditor interno e outros, responsabilidades fundamentais de suporte. Os outros membros da organizao so responsveis pela execuo do gerenciamento de riscos em cumprimento das diretrizes e dos protocolos estabelecidos. O conselho de administrao executa importante atividade de superviso do gerenciamento de riscos da organizao, estando ciente e de acordo com o grau de apetite a risco da organizao. Diversas partes externas, como clientes, revendedores, parceiros comerciais, auditores externos, agentes normativos e analistas financeiros freqentemente fornecem informaes teis para a conduo do gerenciamento de riscos, porm no so responsveis pela sua eficcia e nem fazem parte do gerenciamento de riscos da organizao.

Abrangncia do Controle Interno


O controle interno parte integrante do gerenciamento de riscos corporativos. A estrutura do gerenciamento de riscos corporativos abrange o controle interno, originando dessa forma uma conceituao e uma ferramenta de gesto mais eficiente. O controle interno definido e descrito sob o ttulo Controle Interno Estrutura Integrada. Em razo do fato da estrutura ter resistido ao tempo e ser base das normas, dos regulamentos e das leis existentes, o documento permanece vigente como fonte de definio e marco para as estruturas de controles internos. Enquanto que apenas algumas pores do texto de Controle Interno Estrutura Integrada esto sendo reproduzidas na presente estrutura, a sua totalidade da mesma est incorporada como referncia.

Organizao do Presente Relatrio


Este relatrio apresentado em dois volumes. O primeiro volume contm a Estrutura e este o Resumo Executivo. A Estrutura define o gerenciamento de riscos da organizao e descreve seus princpios e conceitos, fornecendo instrues a todos os nveis executivos de empresas e outras organizaes, quanto ao seu uso na avaliao e no aprimoramento da eficcia do gerenciamento de riscos corporativos. O Resumo Executivo uma viso geral, dirigida aos presidentes, diretoresexecutivos, membros do conselho de administrao e agentes normativos. O segundo volume, Tcnicas de Aplicao ilustra as tcnicas teis de aplicao dos elementos da estrutura.

PricewaterhouseCoopers

Sumrio Executivo

Utilizao do Presente Relatrio


As aes recomendadas, que podem ser interpretadas como resultado deste relatrio, dependem da posio e da funo das partes envolvidas: Conselho de Administrao O conselho deve discutir, com a alta administrao, a situao do gerenciamento de riscos da organizao e fornecer a superviso necessria. O conselho deve certificar-se que esteja ciente dos riscos mais significativos, em conjunto com as aes que a diretoria executiva esteja realizando, e da forma em que est assegurando um gerenciamento de riscos eficaz. O conselho deve considerar a possibilidade de obter a opinio de auditores internos e externos, bem como de outros. Alta Administrao Esse estudo recomenda que o presidente-executivo avalie as funcionalidades de administrao de riscos da organizao. Em uma abordagem, o presidenteexecutivo rene as gerencias das unidades de negcios e funcionrios essenciais para discutir uma avaliao inicial das funcionalidades de gesto de riscos da organizao e de sua eficcia. Qualquer que seja a sua forma, a avaliao inicial dever determinar se existe necessidade de uma avaliao mais ampla e profunda e como conduzi-la. Outros Profissionais da Organizao Cabe aos diretores e demais empregados avaliar como esto conduzindo suas responsabilidades luz desta estrutura, e discutir com seus superiores formas de como fortalecer o gerenciamento de riscos da organizao. Os auditores internos devem levar em conta a amplitude de seu enfoque no que se refere gesto dos riscos corporativos. Agentes Normativos A presente estrutura possibilita uma viso compartilhada do gerenciamento de riscos da organizao, inclusive daquilo que ela pode fazer e suas limitaes. Os agentes normativos podem consultar essa estrutura ao estabelecer expectativas, por meio de normas, orientaes ou aplicao de exames para as organizaes supervisoras.

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Organizaes Profissionais Organizaes normativas e outras organizaes profissionais, que oferecem orientaes sobre administrao financeira, auditoria ou tpicos relacionados, devem considerar os seus padres e as orientaes luz dessa estrutura. Quanto menor for a diversidade de conceitos e terminologia, maior ser o benefcio a todos os agentes envolvidos.

Educadores Essa estrutura pode tornar-se motivo de pesquisa e anlise acadmicas para identificar os pontos que podem ser aprimorados no futuro. Assumindo-se que este relatrio seja aceito como base comum para o entendimento, seus conceitos e termos deveriam, de alguma forma, ser incorporados aos currculos universitrios.

Por meio dessa fundamentao para o entendimento mtuo, todos os agentes podero utilizar uma linguagem comum e comunicar-se, dessa forma, com maior eficcia. Os executivos de negcios tero condies de avaliar o processo de gesto de riscos corporativos de suas prprias organizaes em relao a um padro, fortalecer o processo e conduzir a organizao rumo s metas estabelecidas. A pesquisa futura poder, ento, ser alavancada a partir de uma base existente. Os legisladores e os agentes reguladores tambm podero adquirir um maior entendimento do gerenciamento de riscos corporativos, inclusive os seus benefcios e suas limitaes. Se todos utilizarem uma estrutura comum de gesto de riscos corporativos, esses benefcios concretizar-se-o.

10

PricewaterhouseCoopers

COSO
Estrutura

Gerenciamento de Riscos Corporativos Estrutura Integrada

Definio

1. Definio

Resumo do captulo: Todas as organizaes enfrentam incertezas, e o desafio de sua administrao determinar o nvel de incerteza que a organizao est preparada para aceitar, na medida em que se empenha em agregar valor para as partes interessadas. O gerenciamento de riscos corporativos no apenas permite identificar, avaliar e administrar riscos diante de incertezas, como tambm integra o processo de criao e preservao de valor. O gerenciamento de riscos corporativos um processo conduzido pelo conselho de administrao, pela diretoria executiva e pelos demais empregados, e aplicado no estabelecimento de estratgias por meio de toda a organizao. Alm de ser capaz de identificar eventos em potencial, capazes de afetar a organizao, o processo permite o gerenciamento de riscos de forma compatvel com o apetite a risco da organizao e, ainda, possibilita um nvel razovel de garantia em relao realizao dos seus objetivos. O processo constitudo de oito componentes inter-relacionados e integram o modo pelo qual a administrao gerencia a organizao. Os componentes so associados e servem de critrio para determinar se o gerenciamento de riscos eficaz ou no.
Um dos objetivos fundamentais dessa estrutura contribuir para que a gesto de empresas e demais organizaes adotem uma forma mais adequada de abordar os riscos inerentes ao cumprimento de seus objetivos. Entretanto, o significado de gesto de riscos corporativos varia de pessoa para pessoa e o processo recebe diversos rtulos e significados, o que constitue em obstculo ao entendimento comum. Assim, uma meta importante seria integrar diversos conceitos de administrao de riscos em uma nica estrutura para a qual se estabelece uma definio comum, seus componentes so identificados e os conceitos fundamentais so descritos. Essa estrutura seria capaz de acomodar a maior parte das opinies e, assim, possibilitar um ponto de partida na avaliao e no aprimoramento da gesto de riscos corporativos para futuras iniciativas de rgos reguladores e de ensino.

13

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Incerteza e Valor
Uma premissa subentendida do gerenciamento de riscos que toda organizao, seja ela com ou sem fins lucrativos ou rgo de governo, existe para gerar valor para as partes interessadas. Todas as organizaes enfrentam incertezas, e o desafio da direo determinar o nvel de incerteza que ela est preparada para enfrentar na medida em que se empenha para aumentar o valor para as partes interessadas. As incertezas geram riscos e oportunidades, com potencial para destruir ou gerar valor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficcia as incertezas, os riscos e as oportunidades a elas associados de forma a aprimorar a capacidade de gerao de valor. As organizaes atuam em ambientes nos quais fatores como globalizao, tecnologia, reestruturao, mercados em fase de transio, concorrncia e regulamentos geram incerteza. A incerteza emana da incapacidade de se determinar com preciso a probabilidade de ocorrncia de determinados eventos e impactos a eles associados. A incerteza tambm apresentada e criada pelas escolhas estratgicas da organizao. Por exemplo, uma organizao possui uma estratgia de crescimento baseada na expanso de suas operaes em outro pas. Essa estratgia implica riscos e oportunidades associados estabilidade do ambiente poltico do pas, como recursos, mercados, canais, capacidade da fora de trabalho e custos. O valor gerado, conservado ou destrudo pelas decises gerenciais em todas as atividades, da fixao de estratgias operao cotidiana da organizao. A criao de valor ocorre pela explorao de recursos, como pessoal, capital, tecnologia e marca, sendo o benefcio obtido maior do que os recursos utilizados. A preservao do valor ocorre quando o valor gerado sustentado por meio de, entre outras coisas, qualidade superior de produto, capacidade de produo e satisfao do cliente. O valor poder desgastar-se, caso essas metas no sejam alcanadas por causa das deficincias na estratgia ou na sua execuo. O reconhecimento dos riscos e das oportunidades, um fator inerente no processo decisrio, requer que a administrao analise as informaes em relao aos ambientes interno e externo, utilize seus recursos, bem como ajuste as atividades s mudanas das circunstncias. O valor maximizado quando a administrao estabelece a estratgia e os objetivos a fim de alcanar um ponto de equilbrio ideal entre as metas de crescimento e de retorno, bem como dos riscos a elas relacionados, alm de explorar os recursos com eficincia e eficcia para atingir os objetivos da organizao. O gerenciamento de riscos corporativos requer: Alinhar o apetite a risco e a estratgia A administrao considera em primeiro lugar o apetite a risco, ao avaliar as opes estratgicas e fixar objetivos compatveis com a estratgia escolhida, bem como desenvolver mecanismos para administrar os riscos implcitos. Por exemplo, uma companhia farmacutica apresenta reduzido apetite a risco em relao ao valor de sua marca. Da mesma forma, para proteger a sua marca, essa companhia adota amplos protocolos para garantir a segurana de seus produtos e realiza regularmente investimentos substanciais em pesquisa e desenvolvimento antecipados para dar suporte criao de valor de marca. Otimizar as decises de resposta a risco O gerenciamento de riscos da organizao fornece o rigor para identificar e escolher respostas alternativas aos riscos preveno, reduo, compartilhamento e aceitao de riscos. Por exemplo, a administrao de uma companhia, que opera uma frota particular, reconhece os riscos inerentes ao processo de entrega, incluindo custos de danos aos veculos e pessoais. As opes disponveis contemplam reduzir os riscos por meio de um programa eficaz de recrutamento e treinamento de motoristas,

14

PricewaterhouseCoopers

Definio

rejeitar os riscos terceirizando a entrega, compartilhar o risco por meio de seguro ou, simplesmente, aceitar o risco. O gerenciamento de riscos corporativos oferece metodologias e tcnicas para a tomada dessas decises. Reduzir surpresas e prejuzos operacionais As organizaes aprimoram sua capacidade de identificar eventos em potencial, avaliar os riscos e estabelecer respostas, reduzindo, assim, a probabilidade de surpresas e dos custos ou prejuzos inerentes a elas. Por exemplo, uma companhia monitora os ndices de defeitos em peas e equipamentos da produo alm dos desvios em relao s mdias. A companhia avalia o impacto desses defeitos por diversos critrios, entre eles, o tempo necessrio para o reparo, a incapacidade de atender demanda do cliente, a segurana de empregados, o custo de reparos programados e imprevistos, e reage a esses prejuzos estabelecendo programaes de manuteno. Identificar e administrar os riscos inerentes aos empreendimentos Toda organizao enfrenta uma srie de riscos que afetam suas diferentes reas. administrao cabe no apenas gerir os riscos individuais, mas tambm entender os impactos inter relacionados. Por exemplo, um banco enfrenta uma variedade de riscos ao executar suas transaes que pode afetar toda a organizao. Por esse motivo, a administrao desenvolveu um sistema de informaes que analisa dados de transaes e de mercado de outros sistemas internos, os quais, aliados s informaes relevantes geradas externamente, possibilitam uma viso conjunta dos riscos por meio de todas as atividades bancrias, O sistema de informaes permite um enfoque detalhado no mbito de departamento, cliente ou contraparte, operador e transao, alm de quantificar o risco relativo s tolerncias a risco em categorias estabelecidas. O sistema permite que o banco combine dados previamente discrepantes para responder aos riscos de forma eficaz, utilizando uma viso consolidada ou uma viso por objetivo.

Fornecer respostas integradas aos diversos riscos o ambiente de negcios traz em seu bojo inmeros riscos inerentes. Por esse motivo, o gerenciamento de riscos corporativos possibilita solues integradas para sua gesto. Por exemplo, um distribuidor atacadista enfrenta os riscos de estoques de suprimento em excesso ou em falta, fornecedores frgeis e preos de compra elevados, sem justificativa aparente. O gerenciamento identificou e avaliou os riscos no contexto da estratgia, os objetivos e as respostas alternativas da Companhia, e desenvolveu um sistema de controle de estoque de longo espectro. O sistema integrado aos fornecedores e compartilha informaes de vendas e de estoques, possibilitando uma parceria estratgica e evitando faltas de estoque e custos de carregamento, por meio de contratos de fornecimento para prazos mais dilatados e com melhores preos. Os fornecedores assumem a responsabilidade de reabastecer os estoques, gerando, assim, redues adicionais de custos. Aproveitar as oportunidades ao considerar toda uma srie de eventos em potencial, em vez de apenas os riscos, a administrao capaz de identificar os eventos que representam oportunidades. Por exemplo, uma Companhia de alimentos, analisou potenciais eventos que provavelmente afetariam seu objetivo de crescimento sustentvel de receita. Ao avalilos, a direo constatou que seus consumidores cativos demonstravam uma preocupao cada vez maior com a sade e estavam modificando suas preferncias alimentares, o que sinalizava um declnio na demanda futura dos produtos atuais. Para definir uma resposta, a administrao identificou algumas formas de aplicao de seus atributos para desenvolver novos produtos, o que lhe permitiu preservar sua receita de clientes existentes e tambm, gerar receita adicional ao atrair uma base mais ampla de consumidores.

15

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Melhorar a alocao de capital a obteno de informaes relevantes quanto aos riscos permite que a administrao avalie as necessidades gerais de capital com maior eficincia e otimize a sua alocao. Por exemplo, uma instituio financeira passa a se sujeitar a novas normas regulamentares que aumentariam seus requisitos de capital, a menos que a administrao calculasse os nveis de risco de crdito e operacional e as respectivas necessidades de capital com mais especificidade. A companhia avaliou o risco em termos de custo de desenvolvimento de sistema, relativamente aos custos adicionais de capital, e tomou uma deciso sobre essas informaes. Mediante um software j existente e facilmente adaptvel, a instituio desenvolveu clculos mais precisos e evitou a necessidade de obter capital adicional. Essas funcionalidades so inerentes gesto de riscos corporativos, fato que ajuda a administrao a alcanar as metas de desempenho e de rentabilidade da organizao e a evitar a perda de recursos. O gerenciamento de riscos corporativos contribui para assegurar uma comunicao eficaz e para garantir que a organizao est em conformidade com leis e regulamentos, o que evita danos sua reputao e as conseqncias associadas. Em suma, o gerenciamento de riscos corporativos ajuda a organizao a concretizar seus objetivos e evitar armadilhas e acontecimentos indesejveis ao longo do exerccio de suas atividades.

Eventos Riscos e Oportunidades


Um evento um incidente ou uma ocorrncia gerada com base em fontes internas ou externas, que afeta a realizao dos objetivos. Os eventos podem causar impacto negativo, positivo ou ambos. Os eventos que geram impacto negativo representam riscos. Da mesma forma, o risco definido como segue: O risco representado pela possibilidade de que um evento ocorrer e afetar negativamente a realizao dos objetivos. Os eventos que causam impacto desfavorvel so obstculos criao de valor ou desgastam o valor existente. Os exemplos incluem paradas no maquinrio da fbrica, incndio e perdas de crditos. Os eventos de impacto negativo podem originar-se a partir de condies aparentemente positivas, como nos casos em que a demanda de produto pelo consumidor superior capacidade de produo, o que provoca o no atendimento da demanda, o desgaste na fidelidade do cliente e o declnio de pedidos futuros. Os eventos cujo impacto positivo podem contrabalanar os impactos negativos ou representar oportunidades. A oportunidade definida da seguinte forma: Oportunidade a possibilidade de que um evento ocorra e influencie favoravelmente a realizao dos objetivos. As oportunidades favorecem a criao ou a preservao de valor. A direo da organizao canaliza as oportunidades para seus processos de fixao de estratgias ou objetivos, formulando planos que visam ao seu aproveitamento.

16

PricewaterhouseCoopers

Definio

Definio de Gerenciamento de Riscos Corporativos


O gerenciamento de riscos corporativos diz respeito aos riscos e s oportunidades de criar ou preservar valor, e definido da seguinte forma: O gerenciamento de riscos corporativos o processo conduzido em uma organizao pelo Conselho de Administrao, pela diretoria executiva e pelos demais funcionrios, aplicado no estabelecimento de estratgias formuladas para identificar, em toda a organizao, eventos em potencial, capazes de afetar a referida organizao, e administrar os riscos para mant-los compatveis com o seu apetite a risco e possibilitar garantia razovel de cumprimento dos objetivos da entidade. A definio a seguir reflete certos conceitos fundamentais. O gerenciamento de riscos corporativos : um processo contnuo e que flui pela organizao; conduzido pelos profissionais em todos os nveis da organizao; aplicado definio das estratgias; aplicado em toda a organizao, em todos os nveis e unidades, e inclui a formao de uma viso de portflio de todos os riscos a que ela est exposta; formulado de modo que identifique eventos em potencial, cuja ocorrncia poder afetar a organizao, e que administre os riscos de acordo com o seu apetite a risco; capaz de propiciar garantia razovel para a diretoria executiva e para o conselho de administrao de uma organizao; orientado para realizao de objetivos em uma ou mais categorias distintas, mas dependentes.

Essa definio intencionalmente ampla pelo fato de empregar conceitos fundamentais sobre a forma pela qual as empresas e outras organizaes administram riscos, possibilitando uma base para a sua aplicao em diversos tipos de organizao, indstria ou setor. O gerenciamento de riscos corporativos orienta seu enfoque diretamente para o cumprimento dos objetivos estabelecidos por uma entidade em particular. Fornece uma base para definir a eficcia do gerenciamento de riscos em uma organizao, discutida posteriormente neste captulo. Os conceitos fundamentais esboados anteriormente so discutidos nos prximos pargrafos.

17

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Um Processo
O gerenciamento de riscos corporativos no esttico; mais precisamente uma ao contnua e interativa que permeia toda uma organizao. Essas aes so difusas e inerentes forma que a administrao gerencia. A perspectiva de alguns observadores sobre o gerenciamento de riscos divergente, uma vez que este considerado uma atividade adicional s j existentes na organizao. Isso no quer dizer que uma gesto de riscos efetiva no possa erigir esforos adicionais, como realmente ocorre. Por exemplo, quando h riscos de crdito e de moeda, pode ser necessrio um esforo adicional para desenvolver modelos, anlises e clculos complementares. Entretanto, esses mecanismos de gesto de riscos corporativos esto interligados s atividades operacionais da organizao e existem por motivos comerciais bsicos. O gerenciamento de riscos corporativos tem maior eficcia quando esses mecanismos so construdos como parte da infra-estrutura da organizao e fazem parte de sua essncia. Ao incorporar o gerenciamento de riscos corporativos em sua estrutura, uma organizao ser capaz de influenciar diretamente a habilidade de implementar suas estratgias e de realizar a sua misso. A implantao do gerenciamento de riscos corporativos acarreta importantes implicaes quanto conteno de custos, especialmente nos mercados altamente competitivos que muitas organizaes tm de enfrentar. A criao de novos procedimentos isolados daqueles existentes gera novos custos. Ao orientar seu enfoque para as operaes existentes e na forma como estas podem contribuir para o gerenciamento de riscos corporativos e ao integr-lo s atividades operacionais bsicas, a organizao poder evitar procedimentos e custos desnecessrios. Alm disso, a prtica de implantar e incorporar o gerenciamento de riscos corporativos estrutura das operaes contribui para que os responsveis pela administrao identifiquem e aproveitem novas oportunidades de crescimento dos negcios.

Conduzido por Pessoas


O gerenciamento de riscos corporativos efetuado pelo conselho de administrao, pela diretoria executiva e pelos demais empregados. realizada pelas pessoas de uma organizao, mediante o que fazem e o que dizem. So as pessoas que estabelecem a misso, a estratgia e os objetivos da organizao e implementam os mecanismos de gerenciamento de riscos corporativos. Da mesma forma, a gesto de riscos afeta as aes das pessoas, uma vez que reconhece que estas nem sempre entendem, se comunicam ou desempenham suas funes de forma consistente. Todo indivduo traz para o local de trabalho no apenas um histrico, mas tambm habilidades tcnicas singulares, alm de possuir necessidades e prioridades diferentes. Essas realidades intervm e so influenciadas pelo gerenciamento de riscos corporativos. Cada pessoa possui um ponto nico de referncia que atua sobre o modo pelo qual essa pessoa identifica, avalia e responde a riscos. O gerenciamento de riscos corporativos proporciona os mecanismos necessrios para ajudar as pessoas a entender o risco no contexto dos objetivos da organizao. As pessoas devem conhecer suas responsabilidades e seus limites de autoridade. Do mesmo modo, dever haver uma associao clara e estreita entre os deveres das pessoas e como elas os cumprem no tocante estratgia e aos objetivos da organizao. Entre as pessoas que compem uma organizao esto o conselho de administrao, a diretoria executiva e os demais empregados. A despeito do fato dos conselheiros da administrao terem por funo bsica supervisionar, eles tambm direcionam e aprovam a estratgia e determinadas transaes e polticas. Sendo assim, os conselhos da administrao so um importante elemento para gerenciar os riscos corporativos.

18

PricewaterhouseCoopers

Definio

Aplicado na Fixao da Estratgia


Uma organizao no apenas define sua misso ou viso, mas tambm estabelece objetivos estratgicos, isto , metas de alto nvel que alinham e apiam as decises para o cumprimento destes. A organizao estabelece uma estratgia para alcanar seus objetivos. Alm disso, os objetivos relacionados que deseja alcanar, que, por meio da estratgia, fluiro em forma de cascata para suas unidades de negcios, divises e processos. O gerenciamento de riscos corporativos aplica-se ao processo de definir as estratgias, ocasio em que a administrao leva em considerao os riscos relativos s diferentes alternativas. Por exemplo, uma delas poder ser adquirir outras corporaes visando um aumento da participao de mercado. A outra opo poder ser um corte nos custos operacionais visando alcanar um porcentual mais elevado de margem bruta. Cada uma dessas alternativas traz vrios riscos. Se a administrao escolher a primeira estratgia, a Companhia poder ter de estender as suas atividades a mercados novos e desconhecidos, os concorrentes talvez consigam aumentar sua participao nos seus mercados atuais, ou a companhia poder depararse com a falta de capacidade para implementar efetivamente a estratgia. Com relao segunda opo, os riscos incluem a necessidade de utilizar novas tecnologias ou fornecedores, ou de formar novas alianas. As tcnicas de gesto de riscos so aplicadas nessa etapa para ajudar a administrao a avaliar e a selecionar a estratgia e os objetivos a ela associados.

Aplicado em Toda a Organizao


Ao aplicar o gerenciamento de riscos corporativos, dever examinar as atividades em todos os nveis da organizao, desde as atividades realizadas no mbito empresarial, como planejamento estratgico e alocao de recursos, s atividades das unidades de negcios, como marketing e recursos humanos, e, ainda, analisar os processos do negcio, como produo e anlise de crdito de clientes novos. O gerenciamento de riscos corporativos tambm se aplica a projetos especiais e a novas iniciativas que talvez no disponham de um local designado na hierarquia ou no organograma da organizao. O gerenciamento de riscos corporativos requer que a organizao adote uma viso de portflio dos riscos, procedimento que poder exigir a participao de cada um dos gerentes responsveis por unidades de negcios, funes, processos ou outras atividades que envolvam avaliao de risco, a qual poder ser quantitativa ou qualitativa. Com uma viso combinada de cada nvel da organizao, a alta administrao capaz de avaliar se a carteira de riscos compatvel com o apetite a risco da organizao. A administrao analisa a correlao entre os riscos a partir da perspectiva de portflio no mbito de toda a organizao. Os riscos isolados a cada uma das suas unidades podem ser compatveis com as tolerncias a riscos dessas unidades, porm, tomados em conjunto, podem exceder o apetite a risco da organizao como um todo. Ou, de modo contrrio, os eventos em potencial podem representar riscos inaceitveis para uma dada unidade de negcios, mas podem exercer um efeito compensador em outra. Os riscos inter-relacionados necessitam ser identificados e controlados, a fim de que a totalidade dos riscos seja compatvel com o apetite a risco da organizao.

19

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Apetite a Risco
O apetite a risco a quantidade de riscos, no sentido mais amplo, que uma organizao est disposta a aceitar em sua busca para agregar valor. O apetite a risco reflete toda a filosofia administrativa de uma organizao e, por sua vez, influencia a cultura e o estilo operacional desta. Muitas organizaes consideram esse apetite de forma qualitativa, categorizando-o como elevado, moderado ou baixo, enquanto outras organizaes adotam uma abordagem quantitativa que reflete e equilibra as metas de crescimento, retorno e risco. Uma organizao dotada de um maior apetite a risco poder desejar alocar grande parcela de seu capital para reas de alto risco como mercados recm-emergentes. Por outro lado, uma organizao com um reduzido apetite a risco poder limitar seu risco de curto prazo investindo apenas em mercados maduros e mais estveis. O apetite a risco est diretamente relacionado estratgia da organizao e levado em conta na ocasio de definir as estratgias, visto que a estas expem a organizao a diferentes riscos. O gerenciamento destes ajuda a administrao a selecionar uma estratgia capaz de alinhar a criao de valor com o apetite a risco. O apetite a risco orienta a alocao de recursos entre as unidades de negcios e as iniciativas, levando em considerao os riscos e o plano da unidade para gerar o retorno desejado dos recursos investidos. A administrao considera o apetite a risco ao alinhar sua organizao, seu pessoal e seus processos, e prepara a infra-estrutura necessria para responder e monitorar riscos com eficcia. Associadas aos objetivos da organizao, a tolerncia a riscos representa o nvel aceitvel de variao em relao meta para o cumprimento de um objetivo especfico, e, via de regra, mensurada nas mesmas unidades utilizadas para avaliar o objetivo a que est vinculada.

Ao estabelecer a tolerncia a riscos, a administrao considera o grau de importncia do objetivo relacionado e alinha essas tolerncias ao apetite a risco global. Tal operao ajuda a assegurar que a organizao permanea dentro de seus limites de apetite a risco e, por sua vez, consiga atingir os seus objetivos.

Possibilita Garantia Razovel


Um gerenciamento de riscos corporativos, formulado e executado adequadamente, ser capaz de oferecer ao conselho de administrao e diretoria executiva garantia razovel do cumprimento de seus objetivos. A garantia razovel reflete a noo de que incertezas e riscos se relacionam com o futuro, o qual ningum capaz de prever com exatido. Essa garantia razovel no significa que o gerenciamento de riscos corporativos falhar com freqncia. Muitos fatores, individuais ou coletivos, reforam o conceito de garantia razovel. O efeito cumulativo de respostas a riscos, que atendem a diversos objetivos, e o carter multifuncional dos controles internos reduzem os riscos da organizao no atingir seus objetivos. Alm disso, as responsabilidades individuais e as atividades operacionais rotineiras, em vrios nveis de uma organizao, direcionaro o cumprimento de seus objetivos. Espera-se que, entre diversas organizaes adequadamente controladas, a maioria seja periodicamente informada de seu progresso quanto ao cumprimento de seus objetivos estratgicos e operacionais, que estes sejam conquistados regularmente e que relatrios confiveis sejam elaborados de forma consistente, perodo aps perodo, ano aps ano. Entretanto, poder ocorrer um evento incontrolvel, um erro, ou um incidente. Em outras palavras, at mesmo um gerenciamento de riscos corporativos eficaz poder falhar. Garantia razovel no garantia absoluta.

20

PricewaterhouseCoopers

Definio

Cumprimento dos Objetivos


Com base na misso estabelecida, a administrao planeja objetivos principais, seleciona as estratgias e estabelece outros planos a serem adotados por toda a organizao, alinhados com a estratgia e a ela vinculados. Embora muitos objetivos sejam especficos a uma determinada organizao, alguns deles so amplamente compartilhados. Por exemplo, os objetivos comuns a praticamente todas as entidades so alcanar e manter uma reputao favorvel tanto no segmento empresarial quanto com seus clientes, fornecer informaes confiveis s partes interessadas e operar em conformidade com as leis e a regulamentao. Essa estrutura estabelece quatro categorias de objetivos para a organizao: Estratgicos referem-se s metas no nvel mais elevado. Alinham-se e fornecem apoio misso. Operaes tm como meta a utilizao eficaz e eficiente dos recursos. Comunicao relacionados confiabilidade dos relatrios. Conformidade fundamentam-se no cumprimento das leis e dos regulamentos pertinentes. Essa classificao possibilita um enfoque nos aspectos especficos do gerenciamento de riscos corporativos. Apesar de essas categorias serem distintas, elas se inter-relacionam, uma vez que um dado objetivo poder estar presente em mais de uma categoria, elas tratam de necessidades empresariais diferentes, cuja responsabilidade direta poder ser atribuda a diversos executivos. Essa classificao tambm possibilita distinguir o que se espera do gerenciamento de riscos corporativos. Algumas organizaes utilizam outra categoria de objetivos, a salvaguarda de recursos, que tambm denominada salvaguarda de ativos. De modo geral, esses objetivos tm como meta evitar a perda de ativos ou recursos da organizao, seja por meio

de furto, desperdcio, ineficincia, ou simplesmente, por meio de decises empresariais equivocadas, como vender um produto a preo demasiado baixo, deixar de conservar empregados de importncia fundamental, evitar infraes a patentes, ou incorrer em passivos imprevistos. Esses objetivos so essencialmente de natureza operacional, embora determinados aspectos de salvaguarda possam ser classificados em outras categorias. Nos casos da aplicao de exigncias legais ou regulamentares, os referidos objetivos tornam-se itens de compliance. Quando considerados em conjunto com informaes pblicas, utiliza-se uma definio mais rigorosa para a salvaguarda de ativos. Essa definio trata da preveno ou constatao oportuna, de aquisio, do uso ou da alienao no autorizada dos bens de uma organizao, que poderia produzir impacto relevante nas demonstraes financeiras. Espera-se que o gerenciamento de riscos corporativos oferea garantia razovel do cumprimento dos objetivos relacionados confiabilidade dos informes e ao cumprimento de leis e regulamentos. O atendimento dessas categorias de objetivos est sob o controle da organizao e depende da qualidade da execuo das atividades a elas relacionadas. Entretanto, o alcance de objetivos estratgicos, como, por exemplo, a conquista de uma determinada participao de mercado, e de objetivos operacionais, como o lanamento bemsucedido de uma nova linha de produtos, nem sempre est sob total controle da organizao. O gerenciamento de riscos corporativos no consegue neutralizar julgamentos ou decises equivocadas, nem eventos externos, responsveis por levar um negcio a deixar de alcanar suas metas operacionais. No entanto, esse gerenciamento capaz de aumentar a probabilidade da administrao tomar decises melhor fundamentadas. Em relao a esses objetivos, o gerenciamento de riscos corporativos pode oferecer garantia razovel para que a diretoria executiva e o conselho de administrao, na funo de supervisores, sejam oportunamente notificados se a organizao est na direo do cumprimento dos objetivos.

21

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Componentes do gerenciamento de riscos corporativos


O gerenciamento de riscos corporativos constitudo de oito componentes inter-relacionados, que se originam com base na maneira como a administrao gerencia a organizao, e que se integram ao processo de gesto. Esses componentes so os seguintes: Ambiente Interno A administrao estabelece uma filosofia quanto ao tratamento de riscos e estabelece um limite de apetite a risco. O ambiente interno determina os conceitos bsicos sobre a forma como os riscos e os controles sero vistos e abordados pelos empregados da organizao. O corao de toda organizao fundamenta-se em seu corpo de empregados, isto , nos atributos individuais, inclusive a integridade, os valores ticos e a competncia e, tambm, no ambiente em que atuam. Fixao de Objetivos Os objetivos devem existir antes que a administrao identifique as situaes em potencial que podero afetar a realizao destes. O gerenciamento de riscos corporativos assegura que a administrao adote um processo para estabelecer objetivos e que os escolhidos propiciem suporte, alinhemse com a misso da organizao e sejam compatveis com o apetite a risco. Identificao de Eventos Os eventos em potencial que podem impactar a organizao devem ser identificados, uma vez que esses possveis eventos, gerados por fontes internas ou externas, afetam a realizao dos objetivos. Durante o processo de identificao de eventos, estes podero ser diferenciados em riscos, oportunidades, ou ambos. As oportunidades so canalizadas alta administrao, que definir as estratgias ou os objetivos. Avaliao de Riscos Os riscos identificados so analisados com a finalidade de determinar a forma como sero administrados e, depois, sero associados aos objetivos que podem influenciar. Avaliam-se os riscos considerando seus efeitos inerentes e residuais, bem como sua probabilidade e seu impacto. Resposta a Risco Os empregados identificam e avaliam as possveis respostas aos riscos: evitar, aceitar, reduzir ou compartilhar. A administrao seleciona o conjunto de aes destinadas a alinhar os riscos s respectivas tolerncias e ao apetite a risco. Atividades de Controle Polticas e procedimentos so estabelecidos e implementados para assegurar que as respostas aos riscos selecionados pela administrao sejam executadas com eficcia. Informaes e Comunicaes A forma e o prazo em que as informaes relevantes so identificadas, colhidas e comunicadas permitam que as pessoas cumpram com suas atribuies. Para identificar, avaliar e responder ao risco, a organizao necessita das informaes em todos os nveis hierrquicos. A comunicao eficaz ocorre quando esta flui na organizao em todas as direes, e quando os empregados recebem informaes claras quanto s suas funes e responsabilidades. Monitoramento A integridade do processo de gerenciamento de riscos corporativos monitorada e as modificaes necessrias so realizadas. Desse modo, a organizao poder reagir ativamente e mudar segundo as circunstncias. O monitoramento realizado por meio de atividades gerenciais contnuas, avaliaes independentes ou uma combinao desses dois procedimentos.

22

PricewaterhouseCoopers

Definio

O gerenciamento de riscos corporativos um processo dinmico. Por exemplo, a avaliao de riscos no apenas dar origem a uma resposta aos riscos, mas tambm poder influenciar as atividades de controle e destacar o fato de reconsiderar tanto as necessidades de informao e de comunicao da organizao ou quanto as suas atividades de monitoramento. Desse modo, o gerenciamento de riscos corporativos no um processo rigorosamente em srie, pelo qual um componente afeta apenas o seguinte; um processo multidirecional e interativo, segundo o qual quase todos os componentes podem e realmente influenciam os demais.

praticamente impossvel que duas organizaes venham ou devam aplicar o gerenciamento de riscos de uma forma idntica. As organizaes e suas caractersticas e necessidades de administrao de riscos diferem amplamente de acordo com o setor e o porte, e segundo a filosofia e cultura administrativa. Desse modo, embora todas as organizaes devam ter cada um dos componentes implementados e funcionando efetivamente, a aplicao do gerenciamento de riscos corporativos, inclusive com o emprego de ferramentas e tcnicas e a atribuio de funes e responsabilidades, geralmente sero muito especficas.

Relacionamento entre Objetivos e Componentes


Existe um relacionamento direto entre os objetivos que uma organizao se empenha em alcanar e os componentes do gerenciamento de riscos corporativos, que representam aquilo que necessrio para o seu alcance. Esse relacionamento apresentado a seguir por meio de uma matriz tridimensional, em forma de cubo, apresentada no Anexo 1.1:

Anexo 1.1
As quatro categorias de objetivos - estratgicos, operacionais, de comunicao e conformidade esto representadas nas colunas verticais. Os oito componentes, nas linhas horizontais. A organizao e as unidades de uma organizao, na terceira dimenso do cubo.

A linha de cada componente atravessa e se aplica a todas as quatro categorias de objetivos. Por exemplo, os dados financeiros e no financeiros gerados a partir de fontes internas e externas, pertencentes ao componente de informao e comunicao, so necessrios para estabelecer a estratgia, administrar as operaes comerciais com eficcia, comunicar com eficcia e certificar-se de que a organizao esteja cumprindo as leis aplicveis.

23

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Eficcia
Da mesma forma, se observarmos as categorias de objetivos, todos os oito componentes so relevantes entre si. Se tomarmos a categoria eficcia e eficincia das operaes, por exemplo, todos os oito componentes inter-relacionam-se e so importantes para sua realizao. O gerenciamento de riscos corporativos relevante a toda a organizao ou a qualquer uma de suas unidades. Esse relacionamento ilustrado pela terceira dimenso, que representa subsidirias, divises e outras unidades de negcios. Conseqentemente, possvel concentrar-se em qualquer uma das clulas dessa matriz. Por exemplo, poderamos considerar que a clula superior posterior direita represente o ambiente interno, visto estar relacionada com os objetivos de compliance de uma dada subsidiria. Deve-se reconhecer que as quatro colunas representam categorias de objetivos de uma organizao e no partes das unidades desta. Conseqentemente, ao considerarmos a categoria de objetivos relacionados comunicao, por exemplo, ser necessrio conhecer uma ampla gama de informaes referentes s operaes da organizao. Embora o gerenciamento de riscos corporativos seja um processo, a sua eficcia um estado ou uma condio em um ponto no tempo. Podemos determinar a eficcia do gerenciamento de riscos corporativos de uma organizao mediante um julgamento com base na presena e no bom funcionamento dos oito componentes. Assim sendo, os componentes tambm so critrios para um gerenciamento de riscos corporativos eficaz. Para que os componentes possam estar presentes e funcionar adequadamente, no poder apresentar uma fraqueza significante, e as necessidades de riscos devem ser trazidas para dentro da faixa de apetite a risco da organizao. Quando se determina que o gerenciamento de riscos corporativos eficaz em cada uma das quatro categorias de objetivos, respectivamente, a diretoria executiva e o conselho de administrao tero garantia razovel que: entendem at que ponto os objetivos estratgicos esto sendo alcanados; entendem at que ponto os objetivos operacionais esto sendo alcanados; a comunicao por relatrios confivel; as leis e os regulamentos cabveis esto sendo observados. A despeito do fato de que todos os oito componentes devem estar presentes e funcionando adequadamente para que o gerenciamento de riscos corporativos possa ser considerado eficaz aplicando-se os princpios descritos nos prximos captulos poder haver algum desequilbrio entre os componentes. Como as tcnicas de gesto de riscos corporativos podem ser aplicadas com diversos propsitos, podero estar presentes em mais de um componente. Alm disso, as respostas a risco podem diferir quanto ao efeito sobre um determinado risco. Controles e respostas a risco complementares, que isoladamente apresentam efeito limitado, podem ter efeito conjunto satisfatrio.

24

PricewaterhouseCoopers

Definio

Os conceitos ora discutidos aplicam-se a todas as organizaes independentemente do tamanho. Embora algumas organizaes de pequeno e mdio portes possam implementar os componentes de forma diferente das organizaes de grande porte, estas ainda podero desfrutar de um gerenciamento de riscos corporativos eficaz. A metodologia para cada componente ser provavelmente menos formal e menos estruturada em pequenas organizaes do que nas maiores, porm os conceitos bsicos devem estar presentes em todas as organizaes. Via de regra; o gerenciamento de riscos corporativos considerado, no contexto da organizao, como um todo; o que implica considerar a sua aplicao em unidades de negcios relevantes. Entretanto, poder haver circunstncias nas quais a eficcia do gerenciamento de riscos corporativos deva ser avaliada separadamente em relao a uma determinada unidade de negcios. Nessas circunstncias, para que se possa concluir a eficcia do gerenciamento de riscos corporativos dessa unidade todos os oito componentes devem estar presentes e funcionando bem na prpria unidade. Assim, por exemplo, o fato de haver um conselho de administrao com atribuies especficas como parte do ambiente interno, o gerenciamento de riscos corporativos para uma determinada unidade de negcios pode apenas ser considerada eficaz, se tiver implementado seu prprio conselho ou um rgo semelhante (ou o conselho de administrao da entidade supervisiona diretamente a unidade de negcios). Da mesma forma, em razo do componente de resposta a risco estipular que se deve adotar uma viso de portflio dos riscos, para que o gerenciamento de riscos corporativos possa ser efetivamente avaliado, a organizao dever apresentar uma viso de portflio dos riscos da referida unidade de negcios.

Abrangncia do Controle Interno


O controle interno parte integrante do gerenciamento de riscos corporativos. A referida estrutura de gesto de riscos corporativos abrange o controle interno; originando uma conceituao e uma ferramenta de gesto mais robusta. O controle interno definido e descrito em Controle Interno Estrutura Integrada. Tendo em vista que o Controle Interno Estrutura Integrada tenha resistido ao tempo e sido a base das normas existentes, dos regulamentos e das leis, o documento permanece vigente como fonte de definio e marco para as estruturas de controle interno. Embora apenas algumas partes do texto de Controle Interno Estrutura Integrada tenham sido reproduzidas na presente estrutura, a totalidade do Controle Interno Estrutura Integrada est incorporada como referncia. O Apndice C descreve a relao entre gesto de riscos corporativos e controle interno.

25

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Gerenciamento de riscos corporativos e o Processo de Gesto


Em razo do gerenciamento de riscos corporativos ser uma das atividades de todo o processo de gesto, os componentes dessa estrutura so discutidos no contexto das aes da direo ao administrar uma unidade negcio ou toda uma organizao. Porm, nem todas as atividades da administrao fazem parte do gerenciamento de riscos corporativos. Muitas das opinies e dos julgamentos aplicados no processo decisrio de uma administrao, bem como as aes gerenciais decorrentes, embora parte do processo de gesto, no fazem parte do processo de gesto de riscos corporativos. Por exemplo: O procedimento que assegura a existncia de um processo apropriado para a fixao de objetivos um componente crtico do gerenciamento de riscos corporativos, porm os objetivos especficos selecionados pela administrao no fazem parte desse gerenciamento. Responder aos riscos, tendo-se por base uma avaliao adequada desses, faz parte do gerenciamento de riscos corporativos, porm as respostas especficas selecionadas e a respectiva alocao dos da empresa no o integram nesse gerenciamento. Estabelecer e executar atividades de controle para assegurar que as respostas aos riscos, que a administrao venha a escolher, sejam realizadas com eficcia, faz parte do gerenciamento de riscos corporativos, porm as atividades especficas de controle no o integram. De um modo geral, o gerenciamento de riscos corporativos abrange os elementos do processo administrativo que possibilitam administrao tomar decises de risco bem informadas, porm as decises especficas selecionadas, a partir de uma srie de escolhas possveis, no so capazes de determinar se o gerenciamento de riscos corporativos est sendo eficaz. Contudo, embora os objetivos especficos, as respostas aos riscos e as atividades de controle selecionadas sejam uma questo de julgamento administrativo, as escolhas devem possibilitar a reduo dos riscos a um nvel aceitvel, conforme determinados pelo apetite a risco e a garantia razovel em relao realizao dos objetivos da organizao.

26

PricewaterhouseCoopers

Ambiente Interno

2. Ambiente Interno

Resumo do Captulo: O ambiente interno abrange a cultura de uma organizao, a influncia sobre a conscincia de risco de seu pessoal, sendo a base para todos os outros componentes do gerenciamento de riscos corporativos, possibilita disciplina e a estrutura. Os fatores do ambiente interno compreendem a filosofia administrativa de uma organizao no que diz respeito aos riscos; o seu apetite a risco; a superviso do conselho de administrao; a integridade, os valores ticos e a competncia do pessoal da organizao; e a forma pela qual a administrao atribui aladas e responsabilidades, bem como organiza e desenvolve o seu pessoal.
O ambiente interno a base para todos os outros componentes do gerenciamento de riscos corporativos, o que propicia disciplina e estrutura. Esse ambiente influencia o modo pelo qual as estratgias e os objetivos so estabelecidos, os negcios so estruturados, e os riscos so identificados, avaliados e geridos. Este influencia o desenho e o funcionamento das atividades de controle, dos sistemas de informao e comunicao, bem como das atividades de monitoramento. Sendo influenciado pela histria e cultura de uma organizao, o ambiente interno compreende muitos elementos, inclusive os valores ticos da organizao, a competncia e o desenvolvimento de pessoal, a filosofia da administrao para a gesto de riscos, e como so atribudas alada e responsabilidade. O conselho de administrao parte crtica do ambiente interno e influencia muito os demais elementos de ambiente interno. Embora todos os elementos sejam importantes, o grau de tratamento de cada um deles variar de acordo com a organizao. Por exemplo, o presidente-executivo de uma corporao, dotada de uma pequena fora de trabalho e de operaes centralizadas, poder no estabelecer linhas formais de responsabilidade ou polticas operacionais detalhadas. Entretanto, a Companhia pode dispor de um ambiente interno capaz de possibilitar uma base adequada para o gerenciamento de riscos corporativos.

27

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Filosofia de Gesto de Riscos


A filosofia de gesto de riscos de uma organizao representada pelo conjunto de convices e atitudes compartilhadas que caracterizam a forma pela qual a referida organizao considera o risco em tudo aquilo que faz, do desenvolvimento e da implementao de estratgias s suas atividades do dia-a-dia. Sua filosofia de administrao de riscos reflete em seus valores, influencia a sua cultura e seu estilo de operao, bem como afeta a forma que os componentes de gesto de riscos so aplicados inclusive como os riscos so identificados, os tipos de riscos aceitveis e a forma pela qual so administrados. Uma organizao que tenha sido bem-sucedida em aceitar riscos significativos provavelmente ter uma viso diferente de gesto de riscos do que aquela que tenha enfrentado conseqncias severas, econmicas ou legais, como resultado de sua aventura em territrio perigoso. Embora algumas organizaes busquem alcanar um gerenciamento de riscos corporativos eficaz para atender aos requerimentos de uma parte externa interessada, como a sua controladora ou o rgo regulador, a administrao, freqentemente, reconhece que a gesto de riscos corporativos eficaz contribuir para criao ou preservao de valor da organizao. Quando a filosofia de administrao de riscos est adequadamente desenvolvida, entendida e aceita pelo pessoal da organizao, ela estar em condies de identificar e administrar riscos com eficcia. De outra forma, poder ocorrer uma aplicao inaceitvel e irregular do gerenciamento de riscos corporativos por meio das unidades de negcios ou departamentos. Porm, mesmo que a filosofia de uma organizao encontrese adequadamente desenvolvida, poder existir diferenas culturais entre as suas unidades, o que provocar uma variao na aplicao do gerenciamento de riscos corporativos. Gestores de determinadas unidades podem mostrar-se preparados para enfrentar mais risco, enquanto outros assumem posies mais conservadoras. Por exemplo, uma funo agressiva de vendas poder orientar um esforo para a realizao de vendas, sem dedicar a ateno devida a questes de cumprimento de normas, enquanto a unidade de contratao de pessoal dedica muita ateno ao cumprimento de polticas e regulamentos internos e externos pertinentes. Atuando isoladamente, essas diferentes subculturas poderiam afetar desfavoravelmente a organizao. Porm, ao trabalharem em conjunto, as unidades podero refletir adequadamente na filosofia de administrao de riscos. A filosofia de administrao de riscos est virtualmente refletida em tudo aquilo que a administrao faz para gerir a organizao. Essa filosofia apresentada em declaraes a respeito das polticas, comunicaes verbais e escritas, bem como durante o processo decisrio. Quer a administrao enfatize polticas, normas de conduta, indicadores de desempenho e relatrios de excees, quer opere mais informalmente, principalmente mediante contato pessoal com gerentes-chave, de importncia crtica que a administrao reforce a filosofia no apenas com palavras, mas tambm por meio de aes do cotidiano.

28

PricewaterhouseCoopers

Ambiente Interno

Apetite a risco
O apetite a risco refere-se ao nvel de riscos, que de forma ampla, uma organizao dispe-se a aceitar na busca de valor. O apetite a risco reflete na filosofia de gesto de riscos corporativos e, por sua vez, influencia a cultura e o estilo de operao. O apetite a risco considerado no estabelecimento da estratgia, quando o retorno desejado de uma estratgia deve estar alinhado ao apetite a risco da organizao. Diferentes estratgias exporo a organizao a diferentes nveis de riscos, e o gerenciamento de riscos corporativos aplicado fixao da estratgia ajuda a administrao a optar pela soluo que seja consistente com o apetite a risco. As organizaes consideram o apetite a risco de forma qualitativa, classificando-o em categorias como elevado, moderado ou baixo, ou adotam, ainda, uma abordagem quantitativa, que reflete e equilibra as metas de crescimento e retorno aos riscos.

Conselho de administrao
O conselho de administrao de uma organizao representa uma parte crtica do ambiente interno e capaz de influenciar os seus elementos de forma significativa. Cada fator, como a independncia do conselho em relao administrao, experincia e ao desenvolvimento de seus membros, o grau de participao e exame das atividades, bem como a adequao de suas aes, tem a sua importncia. Outros fatores so, at que ponto questes complexas so levantadas e so abordadas com a diretoria executiva, no que se diz respeito a estratgia, planos, desempenho, bem como a interao que o conselho de administrao ou comit de auditoria possui com os auditores internos e externos. Um conselho de administrao ativo e empenhado, ou rgo similar, poderiam ter um grau adequado de conhecimento gerencial, tcnico ou de outro tema especfico com a disposio necessria para o desempenho de suas responsabilidades de superviso. Esses fatores so crticos a um ambiente eficaz de gerenciamento de riscos corporativos. E, em razo dos membros do conselho estarem preparados para questionar e examinar as atividades da administrao, apresentar opinies alternativas e atuar em caso de gesto inadequada, conselho de administrao deve incluir diretores-executivos de outras organizaes. Membros de diretorias executivas podero tornar-se membros eficazes do conselho de administrao, ao oferecer seus conhecimentos profundos em benefcio da organizao. Porm, dever existir um nmero suficiente de membros externos e independentes, no apenas para propiciar orientao, aconselhamento e instrues adequados, como tambm para atuar com controle e equilbrio necessrios para a administrao. Para que o ambiente interno seja eficaz, o conselho de administrao dever ser, no mnimo, composta em sua maioria por membros externos independentes. Conselhos eficazes garantem que a administrao mantenha um gerenciamento de riscos eficaz. A despeito do fato que, historicamente, uma organizao no tenha incorrido em prejuzos e nem se exponha muito a riscos, os membros do conselho no devem sucumbir noo mtica de que eventos que trazem srias conseqncias adversas no vo ocorrer aqui. Eles reconhecem que, embora uma organizao possa ter uma estratgia perfeita, empregados competentes, processos ntegros e tecnologia confivel, ela, como qualquer outra entidade, vulnervel a risco e necessita de um processo de gesto de riscos eficaz.

29

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Integridade e Valores ticos


A estratgia e os objetivos de uma organizao e o modo pelo qual so implementados baseiam-se em preferncias, julgamentos de valor e estilos gerenciais. A integridade e o compromisso da administrao com valores ticos influenciam essas preferncias e esses julgamentos, os quais so traduzidos em normas de comportamento. A boa reputao de uma organizao pode ser to valiosa que os seus padres de comportamento devem estender-se alm do mero cumprimento de normas. Os gerentes de organizaes bem administradas aceitam cada vez mais o conceito que a tica compensa e que o comportamento tico um bom negcio. A integridade da administrao um pr-requisito para o comportamento tico em todos os aspectos das atividades de uma organizao. A eficcia do gerenciamento de riscos corporativos no deve estar acima da integridade e dos valores ticos das pessoas que criam, administram e monitoram as atividades da organizao. Integridade e valores ticos so elementos essenciais ao ambiente interno das organizaes, que influenciam o traado, a administrao e o monitoramento dos outros componentes do gerenciamento de riscos corporativos. Via de regra, difcil estabelecer valores ticos, dada a necessidade de levarem-se em conta os interesses de vrias partes. Os valores administrativos devem equilibrar os interesses da organizao, dos empregados, dos fornecedores, dos clientes, dos concorrentes e do pblico em geral. Tentar equilibrar esses interesses pode revelar-se uma tarefa complexa e frustrante por causa de freqentes conflitos de interesses. Por exemplo, o fornecimento de um produto essencial (petrleo, madeira ou alimento) pode gerar preocupaes ambientais. O comportamento tico e a integridade administrativa so subprodutos da cultura corporativa, que compreende as normas ticas e comportamentais, e a forma pela qual elas so comunicadas e reforadas. Polticas oficiais estipulam aquilo que o conselho e a administrao desejam que acontea. A cultura corporativa determina aquilo que efetivamente ocorre e quais normas sero observadas, distorcidas ou ignoradas. A alta administrao a comear pelo presidente desempenha um papel fundamental na determinao da cultura corporativa. Visto que a personalidade dominante de uma organizao, o presidente, geralmente estabelece a tonalidade tica. Determinados fatores organizacionais tambm podem influenciar a probabilidade de prticas fraudulentas e questionveis de mascarar as demonstraes financeiras. Esses mesmos fatores tambm podem influenciar o comportamento tico. Determinados indivduos podero cometer atos desonestos, ilegais ou antiticos simplesmente porque a organizao lhes propicia forte incentivo ou tentao para agir dessa forma. A nfase injustificada em resultados, especialmente nos resultados de curto prazo, pode fomentar um ambiente interno inadequado. Um enfoque exclusivamente orientado aos resultados de curto prazo poder ser prejudicial at mesmo ao curto prazo. Concentrao exagerada no lucro venda ou lucro a qualquer custo freqentemente evoca aes e reaes imprevisveis. Tticas agressivas de vendas, falta de considerao em negociaes ou ofertas implcitas de suborno, por exemplo, podem suscitar reaes de efeitos imediatos (bem como duradouros). Outros incentivos para a utilizao de prticas de relatrios fraudulentos ou questionveis e, por extenso, outras modalidades de comportamento antitico podem incluir gratificaes fortemente dependentes das demonstraes financeiras e no financeiras, especialmente no que se refere a resultados a curto prazo.

30

PricewaterhouseCoopers

Ambiente Interno

A remoo ou a reduo de tentaes e os incentivos inadequados so muito eficazes na eliminao do comportamento indesejvel. Como j sugerimos, pode-se alcanar essa situao observando-se prticas comerciais ntegras e lucrativas. Por exemplo, os incentivos de desempenho acompanhados dos controles apropriados podem ser uma tcnica valiosa de gesto, desde que as metas de desempenho sejam realistas. A fixao de metas realistas uma prtica motivacional sadia, capaz de reduzir o estresse contraproducente, e o incentivo elaborao de relatrios fraudulentos. Do mesmo modo, um sistema de relatrios adequadamente controlado poder servir de salvaguarda contra a tentao de mascarar o desempenho. Outra causa de prticas duvidosas a ignorncia. Os valores ticos no devem ser apenas comunicados, mas acompanhados de orientao especfica em relao ao certo e ao errado. Os cdigos formais de conduta corporativa tambm so importantes para o estabelecimento de um programa tico eficaz. Os cdigos abordam uma variedade de questes comportamentais, como integridade e tica, conflitos de interesse, pagamentos ilegais ou inadequados e acordos anticompetitivos. Tambm so importantes os canais de comunicao ascendente nos quais os empregados sintam-se vontade para veicular informaes relevantes.

A existncia de um cdigo de conduta escrito, documentao que os empregados tenham recebido e entendido, e um canal adequado de comunicao no asseguram que o cdigo seja observado. Tambm importante prever penalidades para os empregados que infringem o cdigo, mecanismos que incentivem o empregado a comunicar suspeitas de infraes, e medidas disciplinares contra os empregados que intencionalmente deixam de relatar infraes. Porm, o cumprimento das normas ticas, estejam ou no incorporadas em um cdigo escrito, ser to ou mais garantido quando apoiado pelas aes e pelos exemplos da alta administrao. muito provvel que os empregados desenvolvam as mesmas atitudes em relao ao certo e ao errado e em relao a riscos e controles como os mostrados pela alta administrao. As mensagens mediante aes da diretoria executiva, rapidamente sero incorporadas na cultura corporativa. E o simples fato de que o Presidente tenha feito a coisa certa em termos de tica, quando confrontado com uma difcil deciso, envia uma mensagem poderosa por toda a organizao.

31

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Compromisso com a Competncia


A competncia reflete no conhecimento e nas habilidades necessrias execuo de tarefas designadas. A administrao decide quo bem essas tarefas necessitam ser executadas, ponderando a estratgia e os objetivos da organizao, bem como os planos para a sua implementao e realizao. Freqentemente haver um dilema entre competncia e custo no necessrio, por exemplo, contratar um engenheiro para trocar uma lmpada. A administrao estipula os nveis de competncia para determinados trabalhos e traduz esses nveis em habilidades e conhecimentos necessrios. As habilidades e os conhecimentos necessrios, por sua vez, podem depender do grau de inteligncia, treinamento e experincia individuais. Os fatores considerados no desenvolvimento dos nveis de conhecimentos e habilidades incluem a natureza e o grau de julgamento utilizado em uma funo especfica. Freqentemente, pode-se efetuar uma troca entre a extenso da superviso e os requisitos de competncia do indivduo.

Estrutura Organizacional
A estrutura organizacional de uma entidade prov o arcabouo para planejar, executar, controlar e monitorar as suas atividades. Uma estrutura organizacional relevante inclui a definio de reas fundamentais de autoridade e responsabilidade, bem como a definio de linhas apropriadas de comunicao. Por exemplo, uma funo de auditoria interna deve ser estruturada a fim de poder alcanar objetividade organizacional e permitir acesso irrestrito alta administrao e ao comit de auditoria do conselho de administrao, devendo o executivo chefe de auditoria reportarse a um nvel da organizao que permita atividade de auditoria interna cumprir com as suas responsabilidades. As corporaes desenvolvem estruturas organizacionais compatveis com as suas necessidades. Algumas so centralizadas, outras descentralizadas; algumas apresentam reporte direto, enquanto que outras so matriciais. Determinadas organizaes so estruturadas por ramo industrial ou linha de produto, localizao geogrfica ou por uma rede especial de distribuio ou de marketing. Outras organizaes, inclusive muitas unidades governamentais municipais e estaduais e instituies sem fins lucrativos, so estruturadas por funo. A adequao da estrutura organizacional de uma entidade depende em parte de seu tamanho e da natureza de suas atividades. Uma organizao altamente estruturada, com linhas formais de comunicao e responsabilidades, poder ser adequada para uma organizao de grande porte com numerosas divises operacionais, inclusive operaes no exterior. Porm, esse tipo de estrutura pode prejudicar o fluxo necessrio de informaes em uma organizao de pequeno porte. Qualquer que seja a estrutura, a entidade deve estar organizada de modo a possibilitar um gerenciamento de riscos corporativos eficaz e desempenhar as suas atividades de modo a atingir os seus objetivos.

32

PricewaterhouseCoopers

Ambiente Interno

Atribuio de Alada e Responsabilidade


A atribuio de alada e responsabilidade inclui at que ponto pessoas e equipes esto autorizadas e so incentivadas a adotar sua prpria iniciativa ao abordar questes, bem como a solucionar problemas e os limites dessa autoridade. Esse procedimento tambm inclui as relaes de comunicao e protocolos de autorizao, bem como as polticas que descrevem prticas apropriadas de negcios, conhecimento e experincia dos funcionrios essenciais e os recursos fornecidos para cumprir as suas obrigaes. Algumas organizaes deslocaram o nvel de autoridade para baixo a fim de trazer o processo decisrio ao pessoal da linha de frente. Uma Companhia poder valer-se desse artifcio para tornar-se mais orientada ao mercado e concentrada na qualidade talvez para eliminar defeitos, reduzir o perodo do ciclo do negcio, ou aumentar a satisfao do cliente. O alinhamento da alada e da responsabilidade geralmente realizado para incentivar iniciativas individuais, dentro dos limites correspondentes. A delegao de autoridade significa passar o controle central de determinadas decises aos escales inferiores para as pessoas que esto mais prximas das transaes comerciais cotidianas. Isso pode envolver a delegao de poderes para vender produtos com desconto, negociar contratos de fornecimento, licenas, ou patentes em longo prazo, ou, ainda, ingressar em alianas ou empreendimentos conjuntos. O desafio crucial delegar apenas at o grau necessrio ao alcance dos objetivos. Isso significa assegurar que o processo decisrio esteja embasado em prticas sadias de identificao e avaliao de riscos, inclusive o dimensionamento de riscos e a comparao entre o potencial de prejuzo com os ganhos na determinao de quais riscos aceitar e de como sero administrados. Outro desafio assegurar que todo o pessoal entenda os objetivos da organizao. essencial que as pessoas entendam de que forma suas aes se inter-relacionam e contribuem para a realizao dos objetivos. s vezes, o aumento da delegao intencionalmente seguido da dinamizao ou do enxugamento da estrutura organizacional. Uma mudana propositada para incentivar a criatividade, a iniciativa individual e os tempos de resposta mais curtos podem intensificar a competitividade e melhorar a satisfao do cliente. Esse aumento do grau de delegao pode trazer um requisito implcito de um nvel mais elevado de competncia dos empregados, e uma maior responsabilidade. Alm disso, requer procedimentos eficazes para que a administrao monitore os resultados e possa, desse modo, aceitar ou rejeitar decises, quando necessrio. Com as melhores decises orientadas ao mercado, a delegao pode aumentar a quantidade de decises indesejveis ou no antecipadas. Por exemplo, se um gerente de vendas regional decide que a autorizao para vender com um desconto de 35% no preo de tabela justifica um desconto temporrio de 4% para ganhar participao de mercado, a administrao dever saber dessas decises com antecedncia para poder aceit-las ou rejeit-las. O ambiente interno bem influenciado at o ponto que as pessoas reconhecem que sero responsabilizadas. Este conceito perfeitamente verdadeiro para o Presidente, o qual, com a superviso do conselho de administrao, tem a responsabilidade final de todas as atividades em uma organizao. Os princpios adicionais relacionados a funes e responsabilidades das partes que integram o gerenciamento de riscos corporativos eficaz so descritos no captulo Funes e Responsabilidades.

33

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Padres de Recursos Humanos


Os processos relacionados a recursos humanos, como admisso, orientao, treinamento, avaliao, aconselhamento, promoo, compensao e adoo de medidas corretivas, enviam mensagens aos empregados; em relao aos nveis esperados de integridade, comportamento tico e competncia. Por exemplo, normas de admisso dos indivduos mais qualificados, com nfase no histrico educacional, experincia de trabalho anterior, realizaes anteriores, bem como comprovao da integridade e do comportamento tico, demonstraro o compromisso de uma entidade com o profissional competente e digno de confiana. Isso verdadeiro se as prticas de recrutamento incluem entrevistas formais de profundidade e treinamento na histria da organizao, sua cultura e seu estilo operacional. Polticas de treinamento podem reforar os nveis de desempenho esperados e o comportamento ao comunicarem as funes e as responsabilidades em perspectiva, bem como ao incluir prticas como cursos de treinamento e seminrios, simulaes de estudos de caso e exerccios de desempenho de papis. Transferncias e promoes fundamentadas em avaliaes de desempenho demonstram o empenho da organizao com o progresso dos empregados qualificados. Programas de compensao competitiva que incluem incentivos sob a forma de bonificaes servem para motivar e reforar os desempenhos de nvel elevado a despeito do fato de que os sistemas de prmios devam ser estruturados e ter seus controles implementados para evitar tentaes indevidas de efetuar manipulaes de resultados. As medidas disciplinares transmitem a mensagem que as infraes aos comportamentos esperados no sero toleradas. essencial que os empregados estejam preparados para enfrentar novos desafios na medida em que as questes e os riscos por meio da organizao modificam-se e adquirem maior complexidade - em parte devido rpida mudana de tecnologias e da intensificao da concorrncia. Ensino e treinamento, sejam eles mediante instrues na sala de aula, no auto-estudo ou treinamento na prpria funo devem contribuir para que o pessoal mantenha-se atualizado e trate com eficcia um ambiente em fase de transio. No suficiente admitir pessoal competente e fornecer-lhe treinamento somente uma vez. O processo de aprendizado contnuo.

34

PricewaterhouseCoopers

Ambiente Interno

Implicaes
Nunca demais ressaltar a importncia do ambiente interno de uma organizao e o impacto positivo ou negativo que poder causar sobre os componentes do gerenciamento de riscos corporativos. O impacto de um ambiente interno ineficaz pode ir muito longe e talvez provocar prejuzos financeiros, desgastes da imagem pblica ou, at mesmo, o fracasso. Lembrando o caso de uma corporao de energia que acreditava ser detentora de um gerenciamento de riscos corporativos eficaz, visto que possua executivos qualificados e respeitados, um conselho de administrao de prestgio, estratgia inovadora, sistemas de informaes e atividades de controle adequadas, extensos manuais de polticas sobre as funes de riscos e de controle, bem como rotinas detalhadas de reconciliao e superviso. Contudo, o seu ambiente interno apresentava graves defeitos. A administrao participava de negcios duvidosos e o conselho de administrao fazia vista grossa. Quando se descobriu que a Companhia havia distorcido resultados financeiros, a mesma perdeu a confiana dos acionistas, sofreu uma crise de liquidez e de destruio de seus ativos. Finalmente, a Companhia sofreu uma das maiores falncias da histria. Para que uma organizao possa desfrutar de um gerenciamento de riscos corporativos eficaz, a atitude e o interesse da alta administrao devem ser claros e definitivos, bem como permear toda a organizao. No suficiente apenas dizer as palavras corretas, uma atitude de faa o que digo e no o que fao, somente gerar um ambiente inadequado.

35

Fixao de Objetivos

3. Fixao de Objetivos

Resumo do Captulo: Os objetivos so fixados no mbito estratgico, estabelecendo uma base para os objetivos operacionais, de comunicao e os cumprimento de normas. Toda organizao enfrenta uma variedade de riscos oriundos de fontes externas e internas, sendo a fixao de objetivos um pr-requisito identificao eficaz de eventos, a avaliao de riscos e resposta a risco. Os objetivos so alinhados com o apetite a risco, o qual direciona os nveis de tolerncia a riscos para a organizao.
A fixao de objetivos uma precondio identificao de evento, avaliao de riscos e s respostas aos riscos. Em primeiro lugar, necessrio que os objetivos existam para que a administrao possa identificar e avaliar os riscos quanto a sua realizao, bem como adotar as medidas necessrias para administr-los.

37

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Objetivos Estratgicos
A misso de uma organizao estabelece, em sentido mais amplo, aquilo que a organizao deseja alcanar. No importa o termo utilizado, como misso, viso, ou propsito, importante que a alta administrao, sob a superviso do conselho de administrao, estabelea explicitamente os motivos da existncia da organizao em um sentido amplo. A partir desses motivos, a alta administrao fixa objetivos estratgicos, formula estratgias e estabelece os objetivos da organizao relativos s operaes, conformidade e comunicao. Embora a misso e os objetivos estratgicos de uma organizao, geralmente, sejam estveis, a sua estratgia e muitos de seus objetivos operacionais so mais dinmicos e ajustam-se s condies internas e externas presentes. Na medida em que essas condies modificam-se, as estratgias e os objetivos operacionais so re-alinhados aos objetivos estratgicos. Os objetivos estratgicos so metas de nvel geral, alinhadas com a misso/viso da organizao e fornecendo-lhe apoio. Os objetivos estratgicos refletem em como a alta administrao escolheu uma forma de gerar valor para as partes interessadas. Ao considerar as vrias alternativas de alcanar os seus objetivos estratgicos, a alta administrao identifica os riscos associados com uma ampla gama de escolhas estratgicas e analisa as suas implicaes. Vrias tcnicas de identificao de eventos e de avaliao de riscos, discutidas a seguir e, podem ser utilizadas no processo de fixao de estratgias e objetivos.

Objetivos Correlatos
Estabelecer os objetivos corretos, que do suporte e estejam alinhados com a estratgia selecionada, e associados a todas as atividades da organizao fator crtico de xito. Ao orientar o seu enfoque, primeiramente, para os objetivos estratgicos e para a ttica, a organizao estar pronta para definir os objetivos correlatos no mbito da organizao, cuja realizao gerar e preservar valor. Os objetivos no mbito da organizao so associados e integrados a objetivos mais especficos que fluem em cascata por meio da organizao para os subobjetivos estabelecidos para vrias atividades, como vendas, produo e funes de engenharia e infra-estrutura. Ao fixar objetivos nos mbitos da organizao e de atividade, pode-se identificar fatores crticos para seu xito. Os fatores crticos so fundamentais para que as metas sejam alcanadas. Os fatores crticos para o xito existem em uma entidade, unidade de negcios, funo, departamento ou pessoa fsica. Ao fixar objetivos, a administrao poder identificar critrios de mensurao do desempenho com um enfoque voltado para os fatores crticos de xito. Se os objetivos mostram-se consistentes com as prticas e o desempenho anteriores, a associao entre as atividades conhecida. Entretanto, se os objetivos afastam-se das prticas anteriores da organizao, cabe direo identificar os vnculos ou enfrentar maiores riscos. Nesses casos, haver uma necessidade ainda maior de haver objetivos e subobjetivos para a unidade de negcios coerentes com a nova orientao. Os objetivos precisam ser mensurveis e entendidos prontamente. O gerenciamento de riscos corporativos requer que o pessoal em todos os nveis tenha um entendimento indispensvel em relao aos objetivos da organizao na medida em que estes relacionem-se com a esfera de influncia do indivduo. Todos os empregados necessitam entender o que dever ser realizado e, ainda, dispor de meios de mensurao daquilo que est sendo realizado.

38

PricewaterhouseCoopers

Fixao de Objetivos

Categorias de Objetivos Correlatos


Apesar da diversidade dos objetivos nas organizaes, podemos estabelecer certas categorias mais amplas: Objetivos Operacionais relacionam-se com a eficcia e a eficincia das operaes da organizao, inclusive metas de desempenho e de lucro, bem como reservas de recursos contra prejuzos. Variam de acordo com a deciso da administrao em relao estrutura e ao desempenho. Objetivos de Comunicao relacionam-se com a confiabilidade dos relatrios. Incluem relatrios internos e externos e podem, ainda, conter informaes financeiras e no financeiras. Objetivos de Conformidade relacionam-se com o cumprimento de leis e regulamentos. Em alguns casos dependem de fatores externos e tendem a ser semelhantes em todas as organizaes, e em outros casos em todo um setor industrial. Determinados objetivos acompanham o ramo de negcios em que a organizao se encontra. Algumas companhias, por exemplo, apresentam informaes a rgos ambientais, e Companhias com aes negociadas em bolsas de valores enviam informaes para as autoridades normativas de valores mobilirios. Esses requisitos impostos externamente so estipulados por lei ou regulamentao e classificam-se nas categorias de Comunicao ou Conformidade, ou, ainda, como nos exemplos acima, em ambos. Por outro lado, os objetivos operacionais e os destinados aos relatrios gerenciais internos baseiam-se mais em preferncias, opinies e estilos de gesto. Podem apresentar variaes significativas de organizao para organizao, pelo simples fato de que pessoas competentes e honestas podem selecionar diferentes objetivos.

Por exemplo, no que se refere a desenvolvimento de produto, uma organizao decide ser inovadora, outra seguidora imediata, e outra retardatria morosa. Essas opes afetam a estrutura, as habilidades, a dotao de pessoal e os controles da funo de pesquisa e desenvolvimento. Conseqentemente, no existe um processo de formulao de objetivos ideal para todas as organizaes.

Objetivos Operacionais
Os objetivos operacionais referem-se eficcia e eficincia das operaes da organizao. Compreendem os subobjetivos correlatos de operaes, com a finalidade de aprimorar a eficcia e a eficincia operacional que impulsionaro a organizao na direo de sua meta final. necessrio que os objetivos operacionais reflitam as condies especficas do negcio, da indstria e da economia, nas quais a organizao atua. Os objetivos necessitam, por exemplo, ser pertinentes s presses da concorrncia em termos de qualidade, reduo do ciclo para trazer os produtos ao mercado, ou mudanas em tecnologia. A administrao deve assegurar-se que os objetivos reflitam a realidade e as exigncias do mercado, bem como sejam expressos para que possibilitem uma medio prtica de desempenho. Um conjunto nitidamente definido de objetivos operacionais, associados aos subobjetivos, fundamental para o xito da organizao. Os objetivos operacionais possibilitam um ponto de referncia para o direcionamento dos recursos alocados; se os objetivos operacionais de uma organizao no forem claros ou adequadamente formulados, os seus recursos podero ser mal aproveitados.

39

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Objetivos de Comunicao
Uma comunicao confivel prov administrao informaes exatas e completas, adequadas ao que se prope. A comunicao oferece suporte ao processo decisrio da administrao e ao acompanhamento das atividades e do desempenho da organizao. Alguns exemplos dos referidos relatrios incluem os resultados de programas de marketing, os relatrios dirios sucintos de estimativas de resultados de vendas, a qualidade da produo e os resultados da satisfao dos empregados e dos clientes. A comunicao tambm relaciona-se com os relatrios preparados para divulgao externa, como demonstraes financeiras e divulgao em notas explicativas, discusso e anlise da administrao, e relatrios entregues a entidades normativas.

Subcategorias
As categorias de objetivos fazem parte da linguagem comum estabelecida por essa estrutura, facilitando, dessa maneira, o entendimento e a comunicao. Porm, a organizao poder julgar conveniente discutir um subconjunto de uma ou mais categorias de objetivos para facilitar a comunicao interna ou externa, em relao a um tpico mais restrito. A organizao poder, por exemplo, decidir comunicar a eficcia de uma parte da categoria do relatrio, por exemplo, gesto de riscos corporativos sobre comunicao externa, ou talvez apenas em relao publicao de relatrios financeiros. Esse procedimento permite que a comunicao mantenha-se no contexto da estrutura de administrao de riscos dessa organizao, ao mesmo tempo em que permite comunicaes de subconjuntos especficos de categorias.

Objetivos de Conformidade
As organizaes devem conduzir as suas atividades, bem como, adotar, freqentemente, medidas especficas, de acordo com as leis e os regulamentos pertinentes. Esses requisitos podem relacionar-se a mercados, preo, impostos, meioambiente, bem-estar social de empregados e comrcio internacional. As leis e os regulamentos aplicveis estabelecem padres mnimos de comportamento, que a organizao integra em seus objetivos de conformidade. Por exemplo, as leis de sade ocupacional e segurana podem levar uma organizao a definir o seu objetivo como Embalar e rotular todos os produtos qumicos de acordo com as normas. Nesse caso, as polticas e os procedimentos referem-se a programas de comunicao, inspees locais e treinamento. O histrico de conformidade de uma organizao poder afetar de modo significativo, positivo ou negativo, a sua reputao na comunidade e no mercado.

Sobreposio de Objetivos
Um objetivo em uma categoria poder sobrepor-se ou, ainda, auxiliar um objetivo em outra categoria. A categoria na qual um objetivo poder cair depende s vezes das circunstncias. Por exemplo, o fornecimento de informaes confiveis para que a administrao de uma unidade de negcios administre e controle suas atividades de produo poder servir para o cumprimento dos objetivos de operaes e comunicao. E, na medida em que as informaes so utilizadas para relatar dados ambientais ao governo, elas serviro de objetivos de conformidade. Algumas organizaes utilizam outra categoria de objetivos, salvaguarda de recursos s vezes chamado de salvaguarda de bens, o qual se sobrepe em relao a outras categorias de objetivos. De um modo mais amplo, esses objetivos tratam de evitar a perda de bens ou recursos da organizao, seja ela por meio de furto, desperdcio, ineficincia ou simplesmente de decises

40

PricewaterhouseCoopers

Fixao de Objetivos

comerciais falhas como vender um produto a preo demasiado baixo, deixar de manter empregados de importncia fundamental ou de evitar infraes a patentes, ou, ainda, incorrer em responsabilidades imprevistas. Esses objetivos so, essencialmente, de natureza operacional, embora determinados aspectos de salvaguarda possam cair em outras categorias. Nos casos da aplicao de exigncias legais ou regulamentares, os referidos objetivos tornam-se itens de conformidade. Por outro lado, se o registro adequado reflete claramente nas perdas de bens nas demonstraes financeiras da organizao, ele representar um objetivo de comunicao. Quando considerados em conjunto com informes pblicos, utiliza-se uma definio mais rigorosa para a salvaguarda de bens, que trata da preveno ou da constatao oportuna de aquisio, do uso ou da alienao no autorizada dos bens de uma organizao. Para discusses mais detalhadas dessa categoria de objetivos, consulte Controle Interno Estrutura Integrada, inclusive o aditivo ao mdulo de divulgaes a Partes Externas.

Realizao de Objetivos
Um processo adequado para a fixao de objetivos representa um componente crtico do gerenciamento de riscos corporativos. Embora os objetivos propiciem as metas mensurveis na direo das quais a organizao move-se ao realizar suas atividades, eles possuem diferentes graus de importncia e prioridade. Da mesma forma, a despeito do fato de que uma organizao deva dispor de uma garantia razovel de que determinados objetivos sero alcanados, nem sempre esse o caso em relao a todos os objetivos. O gerenciamento de riscos corporativos eficaz oferece garantia razovel de que os objetivos de comunicao esto sendo alcanados. Da mesma forma, dever haver garantia razovel de que os objetivos de conformidade esto sendo alcanados. De um modo geral, o alcance dos objetivos de comunicao e conformidade est sob o controle da organizao. Em outras palavras, uma vez determinados os objetivos, a organizao ter total controle sobre a sua capacidade de fazer o que for necessrio para atingi-los. Porm, h uma diferena quando se trata de objetivos estratgicos e operacionais, em razo do cumprimento destes no estar sob controle exclusivo da organizao. Uma organizao poder apresentar o desempenho previsto, mas, apesar disso, perder em desempenho para um concorrente. Ela est sujeita a eventos externos, como mudana de governo, condies climticas adversas e assim por diante, em que as ocorrncias fogem ao seu controle. Alguns desses eventos podero ter sido considerados em seu processo de fixao de objetivos e tratados como se fossem pouco provveis de ocorrer e com um plano de contingncia caso ocorressem. Contudo, um plano como esse apenas consegue reduzir o impacto dos eventos externos e no garante que os objetivos sero alcanados. O gerenciamento de riscos corporativos referentes a operaes concentra-se basicamente em desenvolver consistncia para os objetivos e as metas em toda a organizao, identificar fatores e riscos fundamentais de xito, avaliar os riscos e desenvolver respostas bem fundamentadas, implementar respostas adequadas a riscos e estabelecer controles e relatrios do desempenho e expectativas no momento oportuno. No caso dos objetivos estratgicos e operacionais, o gerenciamento de riscos corporativos poder oferecer garantia razovel de que a diretoria executiva e o conselho de administrao, em seu papel de superviso, so informados oportunamente at que ponto a organizao est se movimentando na direo do cumprimento desses objetivos.

41

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Objetivos Selecionados
Como parte do gerenciamento de riscos corporativos, a administrao no apenas seleciona objetivos e considera o modo pelo estes daro suporte misso da organizao, mas tambm certifica-se que esses objetivos esto em conformidade com o apetite a risco. Um alinhamento falho poder fazer que os riscos aceitos sejam demasiadamente baixos para alcanar os objetivos, ou, por outro lado, que aceite riscos em demasia. O gerenciamento de riscos corporativos eficaz no dita os objetivos que a administrao deve escolher, mas certifica-se que a referida administrao dispe de um processo que alinhe objetivos estratgicos com a sua misso e que esses objetivos e os correlatos selecionados estejam de acordo com o apetite a risco.

Apetite a risco
O apetite a risco estabelecido pela administrao, mediante superviso do conselho de administrao, um marco de referncia na fixao de estratgias. As organizaes podem definir o apetite a risco como um equilbrio aceitvel entre crescimento, riscos e retorno, ou como medidas de valor agregado de acionistas ajustadas aos riscos. Determinadas entidades, como as organizaes sem fins lucrativos, definem apetite a risco como o nvel de riscos que aceitaro ao oferecer valor para as suas partes interessadas. Existe uma relao entre o apetite a risco de uma organizao e a sua estratgia. Via de regra, entre as diferentes estratgias, qualquer uma poder ser designada para alcanar as metas desejadas de crescimento e retorno, cada qual com seus respectivos riscos. O gerenciamento de riscos corporativos aplicado ao se estabelecer estratgias ajuda a administrao a selecionar uma que seja compatvel com o seu apetite a risco. Se os riscos associados a uma estratgia forem incompatveis com o que a organizao estabeleceu, esta ter de ser revisada. Isso poder ocorrer nos casos em que a administrao inicialmente formula uma estratgia que ultrapassa esse limite, ou em que a estratgia no inclua riscos suficientes que lhe permitam alcanar seus objetivos estratgicos e cumprir sua misso. O apetite a risco de uma organizao reflete-se na sua estratgia que, por sua vez, impulsiona a alocao de recursos. A administrao aloca recursos nas unidades de negcios, considerando o apetite a risco e os planos estratgicos para cada uma das unidades de negcios, para gerar o retorno desejado dos recursos investidos. A administrao tenta alinhar a organizao, o pessoal, os processos e a infra-estrutura para facilitar o xito da implementao e permitir que se mantenha dentro dos parmetros de seu apetite a risco.

42

PricewaterhouseCoopers

Fixao de Objetivos

Tolerncia a Risco
A tolerncia a risco o nvel de variao aceitvel quanto realizao de um determinado objetivo. As tolerncias aos riscos podem ser mensuradas e, freqentemente, com as mesmas unidades de medida aplicadas s metas dos objetivos associados. As medidas de desempenho so empregadas para assegurar que os resultados efetivamente obtidos estaro dentro dos limites estabelecidos pela tolerncia a risco. Por exemplo, uma companhia fixa a sua meta de entregas pontuais em 98%, com uma variao aceitvel na faixa de 97% a 100% das vezes.Sua meta de treinamento prev um ndice de aprovao de 90%, com um desempenho aceitvel de pelo menos 75%, e espera que o pessoal responda a todas as reclamaes de clientes dentro de 24 horas, mas aceita que at 25% das reclamaes podero receber uma resposta entre 24 e 36 horas. Ao definir a tolerncia a risco, a administrao considera a importncia relativa dos objetivos associados e alinha o seu conjunto ao apetite a risco. Uma operao dentro dos parmetros de tolerncias a riscos possibilita administrao maior garantia de que a Companhia permanecer dentro de seu apetite a risco, o qual, por sua vez, possibilita um grau mais elevado de confiana para que os seus objetivos possa ser atingidos.

43

Identificao de Eventos

4. Identificao de Eventos

Resumo do captulo: a administrao identifica os eventos em potencial que, se ocorrerem, afetaro a organizao e determina se estes representam oportunidades ou se podem ter algum efeito adverso na sua capacidade de implementar adequadamente a estratgia e alcanar os objetivos. Eventos de impacto negativo representam riscos que exigem avaliao e resposta da administrao. Os eventos de impacto positivo representam oportunidades que so canalizadas de volta aos processos de fixao das estratgias e dos objetivos. Ao identificar eventos, a administrao considera uma variedade de fatores internos e externos que podem dar origem a riscos e a oportunidades no contexto de toda a organizao.

45

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Eventos
Eventos so incidentes ou ocorrncias originadas a partir de fontes internas ou externas que afetam a implementao da estratgia ou a realizao dos objetivos. Os eventos podem provocar impacto positivo, negativo ou ambos. Ao identificar os eventos, a administrao deve reconhecer que existem determinadas incertezas, mas no sabe se um evento ocorrer, quando poder ocorrer, nem o impacto que ter caso acontea. Inicialmente, a administrao considera uma faixa de eventos em potencial, originadas de fontes internas e externas, sem levar em conta se o impacto ser favorvel ou desfavorvel. Desse modo, a administrao poder identificar no apenas eventos com potencial impacto negativo, mas tambm aqueles que representam oportunidades a serem aproveitadas. Os eventos variam do bvio ao obscuro, e vo de zero a altamente significativo. Para evitar que um evento deixe de ser percebido, recomenda-se identific-lo de forma independente da avaliao de sua probabilidade de ocorrncia e de seu impacto, que fazem parte do tpico Avaliao de Riscos. Contudo, existem limitaes de ordem prtica, e geralmente difcil saber por onde passa essa linha. Todavia, mesmo os eventos com possibilidade de ocorrncia relativamente baixa no devem ser ignorados se o impacto na realizao de um objetivo importante for elevado.

Fatores Influenciadores
Uma infinidade de fatores externos e internos impulsiona os eventos que afetam a implementao da estratgia e o cumprimento dos objetivos. Como parte do gerenciamento de riscos corporativos, a administrao reconhece a importncia de compreender esses fatores e o tipo de evento que pode emanar deles. Os fatores externos, com os exemplos de eventos correlatos e as suas implicaes, incluem o seguinte:

Identificao de Eventos
Econmicos os eventos relacionados contemplam: oscilaes de preos, disponibilidade de capital, ou reduo nas barreiras entrada da concorrncia, cujo resultado se traduz em um custo de capital mais elevado ou mais reduzido, e em novos concorrentes. Meio ambiente refere-se aos seguintes eventos: incndios, inundaes ou terremotos, que provocam danos a fbricas ou edificaes, restrio quanto ao uso de matrias-primas e perda de capital humano. Polticos eleio de agentes do governo com novas agendas polticas e novas leis e regulamentos, resultando, por exemplo, na abertura ou na restrio ao acesso a mercados estrangeiros, ou elevao ou reduo na carga tributria. Sociais so alteraes nas condies demogrficas, nos costumes sociais, nas estruturas da famlia, nas prioridades de trabalho/ vida e a atividade terrorista, que, por sua vez, podem provocar mudanas na demanda de produtos e servios, novos locais de compra, demandas relacionadas a recursos humanos e paralisaes da produo. Tecnolgicos so novas formas de comrcio eletrnico, que podem provocar aumento na disponibilidade de dados, redues de custos de infra-estrutura e aumento da demanda de servios com base em tecnologia.

46

PricewaterhouseCoopers

Identificao de Eventos

Os eventos tambm originam-se das escolhas que a administrao faz em relao ao seu funcionamento. A capacidade e habilidade de gesto da organizao refletem suas escolhas passadas, influenciam eventos futuros e afetam as decises gerenciais. Os fatores internos e os exemplos de eventos correlatos e de suas implicaes incluem o seguinte: Infra-estrutura aumento da alocao de capital em manuteno preventiva e suporte ao call center, reduzindo o tempo de paralisao de equipamentos e aumentando a satisfao do cliente. Pessoal acidentes de trabalho, atividades fraudulentas e expirao de acordos de trabalho, causando reduo de pessoal disponvel, danos pessoais, monetrios ou reputao da organizao e paralisaes da produo. Processo modificaes de processos sem alterao adequada nos protocolos administrativos, erros de execuo de processo e terceirizao da entrega a clientes sem uma superviso adequada, implicando perda de participao de mercado, ineficincia, insatisfao do cliente e diminuio da fidelidade deste. Tecnologia aumento de recursos para fazer face variabilidade de volume, violaes da segurana e paralisao, em potencial, de sistemas, provocando reduo da carteira de pedidos, transaes fraudulentas e incapacidade de se manter as operaes.

A identificao dos fatores externos e internos que o influenciam til para a constatao efetiva dos eventos. Uma vez identificados os principais fatores, a administrao poder considerar o seu significado e concentrar-se nos eventos capazes de afetar a realizao dos objetivos. Um fabricante e importador de calados, por exemplo, estabeleceu a misso de tornar-se lder na indstria de calados masculinos de alta qualidade. Para realizar esse objetivo, comeou a fabricar produtos que aliavam estilo, conforto e durabilidade, usando tcnicas mais avanadas e materiais de fornecedores estrangeiros rigorosamente selecionados. A Companhia analisou o ambiente operacional externo e identificou fatores sociais e seus respectivos eventos, como a mudana da faixa etria de seu principal mercado consumidor e as tendncias para roupas de trabalho. Os eventos originados por fatores econmicos incluam flutuaes de moeda estrangeira e oscilaes nas taxas de juros. Os fatores tecnolgicos internos indicavam um sistema obsoleto de gesto de distribuio e, os fatores internos de pessoal, de treinamento inadequado em marketing. Alm de constatados no mbito da organizao, os eventos tambm devem ser identificados no nvel da atividade. Esse procedimento contribui para orientar o enfoque do gerenciamento de riscos (o assunto do prximo captulo) s principais unidades de negcios ou funes, como vendas, produo, marketing, tecnologia da informao e pesquisa e desenvolvimento.

47

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Tcnicas de Identificao de Eventos


A metodologia de identificao de eventos de uma organizao poder empregar uma combinao de tcnicas com ferramentas de apoio. Por exemplo, a administrao poder tornar os seminrios interativos em grupo como parte de seu mtodo de identificao de eventos, com um facilitador que utilizar alguma ferramenta para assessorar os participantes. As tcnicas de identificao de eventos examinam tanto o passado quanto o futuro. As tcnicas voltadas a eventos passados e tendncias consideram questes como o histrico de falta de pagamento, as mudanas em preos de commodities e os acidentes que implicaram perda de tempo. As tcnicas que enfocam eventos sobre exposies futuras consideram questes como mudanas nas caractersticas demogrficas, novas condies de mercado e aes da concorrncia. Essas tcnicas podem apresentar grande variao quanto sofisticao; enquanto muitas das tcnicas mais sofisticadas so especficas ao prprio ramo de atividades, a maior parte obtida mediante uma abordagem simples. Por exemplo, tanto as indstrias de servios financeiros, de sade e de segurana empregam tcnicas de rastreamento de eventos de perda. Essas tcnicas iniciam-se com foco no histrico de eventos comuns nos quais as abordagens mais simples analisam eventos com base em percepes internas dos empregados, pois as tcnicas mais avanadas baseiam-se em fontes factuais de eventos observveis para, ento, alimentar esses dados em modelos de projeo altamente sofisticados. As organizaes mais avanadas em termos de gerenciamento de riscos corporativos utilizam uma combinao de tcnicas que aliam eventos passados e potenciais eventos futuros. As tcnicas tambm variam de acordo com o nvel onde so utilizadas na organizao. Algumas delas utilizam a anlise detalhada de dados e criam uma viso de eventos de baixo para cima, enquanto outras, a viso de cima para baixo. O Anexo 4.1 apresenta exemplos de tcnicas de identificao de eventos.

Anexo 4.1
Inventrio de eventos trata-se da relao detalhada de eventos em potencial comuns s organizaes de um cenrio industrial, ou para um determinado tipo de processo, ou atividade, comum s indstrias. Alguns softwares podem gerar listas de eventos relevantes originrias de uma base geral de potenciais eventos, que serviro como ponto de partida para se identificar eventos. Por exemplo, uma organizao envolvida em um projeto de desenvolvimento de software utiliza-se de uma relao detalhada de possveis eventos referentes a projetos desse tipo. Anlise interna pode ser realizada como parte da rotina do ciclo de planejamento de negcios, tipicamente por meio de reunies dos responsveis pela unidade de negcios. A anlise interna pode dispor das informaes de outras partes interessadas (clientes, fornecedores e outras unidades de negcios) ou da consulta a um especialista no assunto, e de fora da unidade (especialistas funcionais internos ou externos ou pessoal interno de auditoria). Por exemplo, ao considerar o lanamento de um novo produto, uma organizao usa sua prpria experincia histrica em conjunto com a pesquisa de mercado para identificar eventos que tenham afetado o grau de xito dos produtos da concorrncia.

48

PricewaterhouseCoopers

Identificao de Eventos

Aladas e limites esses gatilhos servem para alertar a administrao sobre reas de preocupao pela comparao de transaes ou ocorrncias atuais com critrios predefinidos. Uma vez acionado o gatilho, um evento poder necessitar de nova avaliao ou de uma resposta imediata. Por exemplo, a administrao de uma organizao monitora o volume de vendas nos mercados determinados para receber novos programas de marketing ou publicitrios e redireciona seus recursos com base nos resultados. Outra organizao pesquisa as estruturas de preos da concorrncia e considera a hiptese de alterar os seus prprios preos se um limite especfico for atingido. Seminrios e entrevistas com facilitadores essas tcnicas identificam eventos com base na experincia e no conhecimento acumulado da administrao, do pessoal ou de outras partes interessadas por meio de discusses estruturadas. O facilitador liderar um debate sobre eventos que possam afetar a realizao dos objetivos de uma organizao ou unidade. Por exemplo, um controller financeiro conduz um seminrio com os membros da equipe de contabilidade para identificar eventos capazes de impactar os objetivos de comunicao externa das informaes financeiras da organizao. Ao combinar o conhecimento e a experincia dos membros da equipe, podem-se identificar importantes eventos que, de outro modo, poderiam passar despercebidos. Anlise de fluxo de processo essa tcnica rene as entradas, as tarefas, as responsabilidades e as sadas que se combinam para formar um processo. Considerando-se os fatores internos e externos que afetam as entradas ou as atividades em um processo, a organizao identifica os

eventos que podem afetar o cumprimento dos objetivos deste. Por exemplo, um laboratrio mdico mapeia os seus processos de recebimento e a anlise de amostras de sangue. Ao utilizar mapas de processo, o laboratrio considera uma srie de fatores que podem afetar as entradas, as tarefas e as responsabilidades, identificando os riscos relacionados com a rotulagem de amostras, as transferncias do fluxo dentro do processo e as mudanas de turno do pessoal. Indicadores preventivos de eventos ao monitorar dados associados aos eventos, as organizaes identificam a existncia de condies que poderiam originar um evento. Por exemplo, as instituies financeiras, desde h muito, reconhecem a correlao entre os atrasos nos pagamentos de emprstimos e a eventual inadimplncia nestes e o efeito positivo de uma interveno precoce. O monitoramento de padres de pagamento permite que o potencial de inadimplncia seja reduzido por uma ao oportuna. Metodologias de dados sobre eventos de perda as bases de dados sobre eventos individuais de perdas passados representam uma fonte til de informaes para identificar as tendncias e a raiz dos problemas. Aps ter identificado uma raiz, a administrao poder decidir que mais eficaz avali-la e trat-la do que abordar eventos individuais. Por exemplo, uma Companhia que opera uma grande frota de automveis mantm uma base de dados de reclamaes de acidentes e, mediante anlise, constata que uma porcentagem desproporcional de acidentes, em nmero e valor monetrio, est associada a motoristas de determinadas unidades, rea geogrfica e faixas etrias. Essa anlise permite que a direo identifique as causas dos eventos e adote as medidas necessrias.

49

Gerenciamento de Riscos Corporativos - Estrutura Integrada

O grau de profundidade, de amplitude e de disciplina na identificao de eventos pode variar de uma organizao para outra. A administrao seleciona as tcnicas compatveis com a sua filosofia de gesto de riscos e assegura que a entidade desenvolve as funcionalidades necessrias de identificao de eventos e que as ferramentas de apoio esto implementadas. De um modo geral, a identificao necessita ser suficientemente eficaz pelo fato de ser a base dos componentes da avaliao de riscos e da resposta a estes.

Interdependncias
Via de regra; os eventos no ocorrem de forma isolada. Um evento poder desencadear outro, e ocorrer concomitantemente. Para identificar os eventos, a administrao deve entender o modo pelo qual eles se inter-relacionam. A avaliao dos relacionamentos permite determinar em que pontos os esforos da gesto de riscos estaro bem direcionados. Por exemplo, uma mudana na taxa de juros do Banco Central afeta as taxas de cmbio, que relevante aos ganhos e s perdas nas transaes de moeda de uma organizao. A deciso de reduzir o investimento em capital postergar um aperfeioamento dos sistemas de gesto de distribuio e ocasionar um tempo de paralisao adicional e uma elevao nos custos operacionais. A deciso de ampliar o treinamento em marketing poder melhorar a fora de vendas e a qualidade do servio, trazendo como resultado um aumento na freqncia e no volume de pedidos de clientes. A deciso de entrar em uma nova linha de negcios, com grandes incentivos associados ao desempenho informado, poder aumentar os riscos de erro na aplicao de princpios contbeis e demonstraes financeiras incorretas.

Categorias de Eventos
Pode ser til agrupar os eventos em potencial em categorias. Ao agregar os eventos horizontalmente em uma organizao e verticalmente nas unidades operacionais, a administrao desenvolver a compreenso do relacionamento entre os eventos e poder adquirir melhores informaes para formar uma base para avaliar riscos. Ao agrupar eventos semelhantes, a administrao ter melhores condies de identificar oportunidades e riscos. A classificao de eventos tambm permite administrao considerar o grau de completude de seus esforos de identificao de eventos. Por exemplo, uma organizao poder classificar os eventos relativos cobrana de credores em uma nica categoria, denominada Inadimplncia Credores. Ao examinar os eventos nessa categoria, a administrao poder verificar se realmente identificou todos os eventos em potencial e significativos relacionados com Inadimplncia Credores. Algumas organizaes estabelecem categorias de eventos com base na prpria classificao de objetivos, utilizando uma hierarquia que se inicia nos objetivos em nvel geral, para, ento, fluir em cascata at os objetivos correlatos s unidades ou s funes organizacionais e aos processos. O Anexo 4.2 ilustra uma abordagem utilizada para estabelecer as categorias de eventos dentro do contexto de fatores mais amplos internos e externos.

50

PricewaterhouseCoopers

Identificao de Eventos

Anexo 4.2
Categorias de Eventos
Fatores Externos
Econmicos Disponibilidade de capital Emisses de crdito, inadimplncia Concentrao Liquidez Mercados financeiros Desemprego Concorrncia Fuses / aquisies

Fatores Internos
Infra-estrutura Disponibilidade de bens Capacidade dos bens Acesso ao capital Complexidade

Pessoal Capacidade dos empregados Atividade fraudulenta Sade e segurana

Meio Ambiente Emisses e dejetos Energia Desastres naturais Desenvolvimento sustentvel

Processo Capacidade Design Execuo Dependncias / fornecedores

Polticos Mudanas de governo Legislao Poltica pblica Regulamentos

Tecnologia Integridade de dados Disponibilidade de dados e sistemas Seleo de sistemas Desenvolvimento Alocao Manuteno

Sociais Caractersticas demogrficas Comportamento do consumidor Cidadania corporativa Privacidade Terrorismo

Tecnolgicos Interrupes Comrcio eletrnico Dados externos Tecnologias emergentes

51

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Diferenciao de Riscos e Oportunidades


Se um evento ocorre, ele ter um impacto negativo, ou positivo, ou, at mesmo, ambos. Os eventos cujo impacto negativo representam riscos que exigem avaliao e resposta da administrao. Da mesma forma, o risco a possibilidade de que um evento ocorra e prejudique a realizao dos objetivos. Os eventos cujo impacto positivo representam oportunidades ou contrabalanam os impactos negativos dos riscos. Oportunidade a possibilidade de que um evento ocorra e influencie favoravelmente na realizao dos objetivos, apoiando, desse modo, a criao de valor. Os eventos que representam as oportunidades so canalizados de volta para os processos de fixao de estratgias ou de objetivos por parte da administrao, para que se formulem aes para o aproveitamento dessas oportunidades. Os eventos que neutralizam o impacto negativo dos riscos so levados em conta na avaliao de riscos e da resposta a estes.

52

PricewaterhouseCoopers

Identificao de Eventos

5. Avaliao de Riscos

Resumo do captulo: a avaliao de riscos permite que uma organizao considere at que ponto eventos em potencial podem impactar a realizao dos objetivos. A administrao avalia os eventos com base em duas perspectivas probabilidade e impacto e, geralmente, utiliza uma combinao de mtodos qualitativos e quantitativos. Os impactos positivos e negativos dos eventos em potencial devem ser analisados isoladamente ou por categoria em toda a organizao. Os riscos so avaliados com base em suas caractersticas inerentes e residuais.

53

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Contexto para a Avaliao de Riscos


Fatores externos e internos influenciam os eventos que podero ocorrer, e at que ponto os referidos eventos podem afetar os objetivos de uma organizao. Embora alguns fatores sejam comuns s organizaes, via de regra, os eventos resultantes so singulares em relao a uma determinada organizao tendo em vista seus objetivos estabelecidos e decises anteriores. Ao avaliar riscos, a administrao considera o composto dos futuros eventos em potencial pertinentes organizao e s suas atividades no contexto das questes que do forma ao perfil de riscos, como tamanho da organizao, complexidade das operaes e grau de regulamentao de suas atividades. Ao avaliar riscos, a administrao leva em considerao eventos previstos e imprevistos. Muitos eventos so rotineiros e recorrentes e j foram abordados nos programas de gesto e oramentos operacionais, enquanto que outros so imprevistos. A administrao avalia os riscos em potencial de eventos imprevistos e, caso ainda no tenha feito essa avaliao, at os previstos que podem causar um impacto significativo na organizao. Embora o termo avaliao de riscos tenha sido usado em conexo com uma atividade realizada, uma nica vez, no contexto de avaliao de riscos corporativos, o componente de avaliao de riscos uma interao contnua e repetida das aes que ocorrem em toda a organizao.

Risco Inerente e Residual


A administrao leva em conta tanto o risco inerente quanto o residual. Risco inerente o risco que uma organizao ter de enfrentar na falta de medidas que a administrao possa adotar para alterar a probabilidade ou o impacto dos eventos. Risco residual aquele que ainda permanece aps a resposta da administrao. A avaliao de riscos aplicada primeiramente aos riscos inerentes. Aps o desenvolvimento das respostas aos riscos, a administrao passar a considerar os riscos residuais.

Estimativa da Probabilidade e do Impacto


A incerteza de eventos em potencial avaliada a partir de duas perspectivas probabilidade e impacto. A probabilidade representa a possibilidade de que um determinado evento ocorrer, enquanto o impacto representa o seu efeito. Probabilidade e impacto so termos de uso comum, embora algumas organizaes utilizem termos, como probabilidade, severidade, gravidade ou conseqncia. s vezes os termos assumem conotaes mais especficas, como o caso de likelihood2, usado para indicar a possibilidade de que um evento ocorra em termos qualitativos, como elevada, mdia e reduzida ou outros critrios de escalas, e de probability, indica uma medida quantitativa, como porcentagem, freqncia de ocorrncia ou outra medida numrica. A determinao do grau de ateno depende da avaliao de uma srie de riscos que uma organizao enfrenta, e isso uma tarefa difcil e desafiadora. A administrao reconhece que um risco com reduzida probabilidade de ocorrncia e baixo potencial de impacto, geralmente, no requer maiores consideraes. Por outro lado, um risco com elevada probabilidade de ocorrncia e um potencial de impacto significativo demanda ateno considervel. As circunstncias situadas entre esses extremos geralmente so difceis de julgar. importante que a anlise seja racional e cuidadosa.

___________________
2

N.T. Os termos likelihood e probability referem-se a um mesmo vocbulo em portugus, isto , probabilidade. Consultar o glossrio no final desta obra.
54 PricewaterhouseCoopers

Identificao de Eventos

O horizonte de tempo empregado para avaliar riscos dever ser consistente com o tempo das estratgias e objetivos relacionados a esses riscos. Em razo das estratgias e objetivos de muitas organizaes considerarem horizontes de tempo de curta a mdia durao, a administrao naturalmente concentra-se nos riscos associados com esses perodos de tempo. Contudo, alguns aspectos do direcionamento estratgico e dos objetivos estendem-se a prazo mais longo. Conseqentemente, a administrao precisa levar em conta os cenrios de prazos mais longos para no ignorar riscos que possam estar mais adiante. Por exemplo, uma Companhia que atua na Califrnia poder considerar o risco de que um terremoto possa paralisar as suas operaes comerciais. Sem um horizonte de tempo especificado para a avaliao de riscos, ser elevada a probabilidade de um terremoto cuja intensidade na escala Richter seja superior a 6.0, talvez essa probabilidade esteja praticamente certa. Por outro lado, a probabilidade de que esse tipo de terremoto ocorra dentro de dois anos , substancialmente, mais baixa. Ao estabelecer um horizonte de tempo, a organizao adquire mais informao em relao importncia relativa do risco e uma maior habilidade para comparar diversos riscos. Freqentemente, a administrao emprega medies de desempenho na determinao de quais objetivos esto sendo alcanados e, geralmente, utiliza uma mesma unidade de medida, ou uma unidade compatvel ao considerar o impacto em potencial de um risco para a realizao de um objetivo especfico. Por exemplo, uma Companhia com um objetivo de manter um nvel especfico de servio ao cliente ter arquitetado uma classificao ou outra medida para esse objetivo, como o ndice de satisfao de cliente, quantidade de reclamaes, ou quantidade de repetio de compras. Ao avaliar o impacto de um risco que poderia afetar o servio ao cliente como seria o caso da possibilidade de que o site da companhia pode manter-se indisponvel por um certo tempo, o impacto ser determinado melhor utilizando-se as mesmas medidas.

Fontes de Dados
Via de regra, as estimativas de probabilidade e grau de impacto de riscos so conduzidas utilizando dados de eventos passados observveis, os quais fornecem uma base mais objetiva do que as estimativas inteiramente subjetivas. Os dados gerados internamente e embasados na experincia passada da prpria organizao, podem refletir qualidades pessoais menos subjetivas e propiciar melhores resultados do que os dados de fontes externas. Contudo, mesmo que os dados gerados internamente sejam um dado primrio, os externos podem ser teis como um ponto de controle, ou para aprimorar a anlise. Por exemplo, a administrao de uma organizao, ao avaliar o risco de paralisaes da produo em razo de falhas de equipamentos, verifica primeiramente a freqncia e o impacto de falhas anteriores de seus prprios equipamentos de manufatura. Em seguida, suplementa esses dados com indicadores de desempenho para a indstria. Esse procedimento possibilita uma estimativa mais precisa da probabilidade e do impacto de falhas, bem como, mais eficaz da manuteno preventiva. Deve-se ter cautela ao se utilizar eventos passados para fazer previses futuras, visto que os fatores que influenciam os eventos podem modificar-se com o passar do tempo.

55

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Perspectiva
Os gestores sempre fazem julgamentos subjetivos sobre a incerteza e ao julgar devem reconhecer as limitaes inerentes. As constataes feitas na pesquisa psicolgica indicam que os tomadores de deciso em diversas funes, inclusive administradores de corporaes, mostram-se muito confiantes ao realizar estimativas e no reconhecem a quantidade de incerteza que realmente existe. Estudos demonstram um notvel vis de confiana excessiva, que leva a intervalos indevidamente estreitos para o impacto e as probabilidades estimadas, por exemplo, as metodologias de valor em risco. Essa tendncia ao excesso de confiana ao estimar a incerteza pode ser minimizada pela utilizao eficaz de dados empricos obtidos externa ou internamente. Na falta desses dados, uma conscincia aguada da penetrabilidade do vis poder ajudar a mitigar esses efeitos. As tendncias humanas relacionadas ao ato de decidir so apresentadas de outra forma, na qual no incomum que as pessoas faam escolhas diferentes ao buscar ganhos a fim de evitar perdas. Ao reconhecer essas tendncias humanas, o gestor pode destacar as informaes para reforar o apetite e o comportamento perante risco em toda a organizao. A forma pela qual as informaes so apresentadas ou estruturadas podem afetar significativamente a sua interpretao e a forma pela qual os riscos associados ou as oportunidades so vistos, conforme descrito no Anexo 5.1.

Anexo 5.1
As pessoas apresentam diferentes respostas a prejuzos em potencial comparando-os a ganhos em potencial. A forma pela qual um risco estruturado com o enfoque na parte de cima (um ganho em potencial) ou na parte de baixo (um prejuzo em potencial) geralmente, influencia a resposta. A teoria de expectativas, a qual explora o processo decisrio do ser humano, diz que as pessoas no se mostram neutras em relao aos riscos; ou melhor, uma resposta a prejuzo tende a ser mais extrema do que uma resposta a ganho. E com isso, vem a tendncia de interpretar erradamente probabilidades e reaes a solues acertadas. Para ilustrar o raciocnio, uma pessoa deparar-se com dois conjuntos de opes: 1. Um ganho certo de $240 ou 25% de chance de ganhar $1.000, e 75% de chance de no ganhar nada. 2. Um prejuzo certo de $750, ou 75% de chance de perder $1.000, e 25% de chance de no perder nada

No primeiro conjunto de opes, a maioria escolheria um ganho certo de $240, por causa de suas tendncias de averso a riscos em relao a ganhos e questes estruturadas positivamente. Por outro lado, a maioria escolheria uma chance de 75% de perder $1.000, em razo de suas tendncias de procurar riscos em relao a prejuzos e questes estruturadas negativamente. Segundo a teoria de expectativas, as pessoas no desejam colocar em risco o que j tem ou pensam que podem ter, porm apresentaro maior tolerncia a riscos quando podem minimizar os prejuzos.

56

PricewaterhouseCoopers

Identificao de Eventos

Tcnicas de Avaliao
A metodologia de avaliao de riscos de uma organizao inclui uma combinao de tcnicas qualitativas e quantitativas. Geralmente, a administrao emprega tcnicas qualitativas de avaliao se os riscos no se prestam a quantificao, ou se no h dados confiveis em quantidade suficiente para a realizao das avaliaes quantitativas, ou, ainda, se a relao custo-benefcio para obteno e anlise de dados no for vivel. Tipicamente, as tcnicas quantitativas emprestam maior preciso e so utilizadas em atividades mais complexas e sofisticadas para suplementar as tcnicas qualitativas. As tcnicas quantitativas de avaliao geralmente requerem mais esforo e rigor, muitas vezes utilizando modelos matemticos no triviais. As tcnicas quantitativas dependem sobremaneira da qualidade dos dados e das premissas adotadas e so mais relevantes para exposies que apresentem um histrico conhecido, uma freqncia de sua variabilidade e permitam uma previso confivel. O Anexo 5.2 exemplifica as tcnicas quantitativas de avaliao de riscos.

Anexo 5.2
Comparao com Referncias de Mercado (Benchmarking) um processo cooperativo entre um grupo de organizaes. O benchmarking enfoca eventos ou processos especficos, compara medies e resultados utilizando mtricas comuns, bem como identifica oportunidades de melhoria. Dados de eventos, processos e medidas so desenvolvidos para a comparao de desempenho. Algumas Companhias utilizam o benchmarking para avaliar a probabilidade e o impacto de eventos em potencial em uma indstria. Modelos Probabilsticos Os modelos probabilsticos associam a uma gama de eventos e seu respectivo impacto, a probabilidade de ocorrncia sob determinadas premissas. A probabilidade e o impacto so avaliados com base em dados histricos ou resultados simulados que refletem hipteses de comportamento futuro. Os exemplos de modelos probabilsticos incluem valor em risco (value-at-risk), fluxo de caixa em risco, receitas em risco e distribuies de prejuzo operacional e de crdito. Os modelos probabilsticos podem ser utilizados com diferentes horizontes de tempo para estimar os seus resultados, como a faixa de prazos dos instrumentos financeiros disponveis. Os modelos probabilsticos tambm podem ser usados para avaliar resultados esperados ou mdias em relao a impactos imprevistos ou extremos. Modelos No Probabilsticos Os modelos no probabilsticos empregam critrios subjetivos para estimar o impacto de eventos, sem quantificar uma probabilidade associada. A avaliao do impacto de eventos baseia-se em dados histricos ou simulados a partir de hipteses sobre o comportamento futuro. Os exemplos de modelos no probabilsticos incluem medies de sensibilidade, testes de estresse e anlises de cenrios.

Para obter consenso sobre a probabilidade e o impacto de eventos de risco pelo uso de tcnicas qualitativas de avaliao, as organizaes podero utilizar a mesma abordagem que usam na identificao dos eventos, como entrevistas e seminrios. Um processo de auto-avaliao de riscos colhe as opinies dos participantes a respeito da probabilidade em potencial e do impacto de eventos futuros, utilizando escalas descritivas ou numricas.

57

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Relao entre Eventos


Uma organizao no necessita empregar as mesmas tcnicas de avaliao para todas as suas unidades de negcios. Em vez disso, a escolha das tcnicas dever refletir na necessidade de exatido e na cultura da unidade de negcios. Em uma Companhia, por exemplo, ao identificar e avaliar riscos no mbito de processo, uma unidade de negcios emprega questionrios de auto-avaliao, enquanto outra usa seminrios. Os riscos so avaliados com base na caracterstica inerente ou residual dos riscos, para ento serem organizados e agrupados por categorias de risco e objetivos para ambas as unidades de negcios. Embora diferentes mtodos sejam empregados, eles permitem consistncia suficiente para facilitar a avaliao de riscos em toda a organizao. A administrao pode obter uma medida quantitativa do impacto de um evento para toda a organizao, quando todas as avaliaes individuais de riscos com relao ao mesmo evento estiverem expressas em termos quantitativos. Por exemplo, o impacto de uma alterao nos preos de energia sobre a margem bruta calculado em todas as unidades de negcios, e um impacto global sobre toda a organizao , ento, determinado. Quando h mescla de medidas qualitativas e quantitativas, a administrao realiza uma avaliao qualitativa sobre as medidas de ambas, assim o resultado combinado expresso em termos qualitativos. O estabelecimento de termos comuns de probabilidade e do grau de impacto por meio de toda a organizao e categorias comuns de riscos para as medidas qualitativas facilita essas avaliaes combinadas dos riscos. Nos casos em que os eventos em potencial no esto relacionados, a administrao os avaliar individualmente. Por exemplo, uma Companhia cujas unidades de negcios esto sujeitas a diferentes flutuaes de preos como polpa e moeda estrangeira avaliaria os riscos separadamente quanto s flutuaes de mercado. Porm quando existir alguma correlao entre os eventos, ou os eventos combinam-se e interagem para gerar probabilidades ou impactos significativamente diferentes, a administrao os avaliar em conjunto. Enquanto que o impacto de um nico evento pode ser moderado, o de uma seqncia ou combinao de eventos pode ser muito mais significativo. Por exemplo, uma vlvula defeituosa em um tanque de propano em um armazm de distribuio d origem a um vazamento de propano; as portas do armazm so mantidas fechadas para evitar que o calor propague aos escritrios contguos; o motorista de um caminho que se aproxima e ativa um dispositivo de controle para abrir as portas do armazm. Juntas, a presena do gs propano e a fasca gerada pelo motor de acionamento da porta da garagem provocam uma exploso. Esses diferentes eventos interagem e produzem um impacto significativo. Em outro exemplo, uma Companhia ingressa em um mercado estrangeiro com gerentes recrutados localmente, sistemas de informao no testados e poucos dados para a administrao central avaliar o seu desempenho com um risco significativo de demonstrativos errneos ou fraudulentos.

58

PricewaterhouseCoopers

Identificao de Eventos

Nos casos em que os riscos podem afetar diversas unidades de negcios, a administrao poder agrup-los em categorias de eventos e considerlos primeiramente por unidade para, ento, consider-los em conjunto no mbito de toda a organizao. Por exemplo, as unidades de negcios de uma Companhia de servios financeiros esto sujeitas a riscos de mudana das taxas de juros pagas pelo governo, e a sua administrao avalia o risco no apenas em relao a cada uma das unidades de negcios, mas tambm o seu consolidado. Uma Companhia de manufatura possui diversas unidades de negcios, cada uma delas com exposio s flutuaes no preo do ouro; a administrao agrega o risco de alteraes em potencial no preo do outro em uma nica medida que mostra o efeito lquido da alterao de $1/ona em seu estoque total de ouro. A natureza dos eventos e o fato de serem relacionados podem influenciar as tcnicas de avaliao empregadas. Por exemplo, ao avaliar o impacto de eventos que podem provocar um impacto extremo, a administrao poder empregar o teste de estresse, enquanto que na avaliao dos efeitos de eventos mltiplos, a administrao poder considerar mais til a anlise de simulaes ou de cenrios. O exame da relao entre a probabilidade e o impacto dos riscos representa uma importante responsabilidade gerencial. O gerenciamento de riscos corporativos eficaz requer que a avaliao de risco seja efetuada em relao aos riscos inerentes e, tambm, a resposta a riscos, conforme descreve o prximo captulo.

59

Resposta a Riscos

6. Resposta a Riscos

Resumo do Captulo: Aps ter conduzido uma avaliao dos riscos pertinentes, a administrao determina como responder aos riscos. As respostas incluem evitar, reduzir, compartilhar ou aceitar os riscos. Ao considerar a prpria resposta, a administrao avalia o efeito sobre a probabilidade de ocorrncia e o impacto do risco, assim como os custos e benefcios, selecionando, dessa forma, uma resposta que mantenha os riscos residuais dentro das tolerncias a risco desejadas. A administrao identifica as oportunidades que possam existir e obtm, assim, uma viso dos riscos em toda organizao ou de portflio, determinando se os riscos residuais gerais so compatveis com o apetite a riscos da organizao.
As respostas a riscos classificam-se nas seguintes categorias: Evitar Descontinuao das atividades que geram os riscos. Evitar riscos pode implicar a descontinuao de uma linha de produtos, o declnio da expanso em um novo mercado geogrfico ou a venda de uma diviso. Reduzir So adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, ou, at mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das centenas de decises do negcio no dia-a-dia. Compartilhar Reduo da probabilidade ou do impacto dos riscos pela transferncia ou pelo compartilhamento de uma poro do risco. As tcnicas comuns compreendem a aquisio de produtos de seguro, a realizao de transaes de headging ou a terceirizao de uma atividade. Aceitar Nenhuma medida adotada para afetar a probabilidade ou o grau de impacto dos riscos. O Anexo 6.1 apresenta alguns exemplos de como se aplicam essas respostas a riscos.

61

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Anexo 6.1
Evitar Uma organizao sem fins lucrativos identificou e avaliou os riscos de fornecer servios mdicos diretos aos seus membros e decidiu, desse modo, no aceitar os riscos associados. Alm disso, a organizao decidiu prestar um servio de recomendao dos servios. Reduzir Uma Companhia de compensao de ttulos identificou e avaliou o risco de seus sistemas permanecerem inoperantes por um perodo superior a trs horas e concluiu, assim, que no aceitaria o impacto dessa ocorrncia. A Companhia investiu em tecnologia no aprimoramento de sistemas de auto-deteco de falhas e sistemas de back-up para reduzir a probabilidade de indisponibilidade do sistema. Compartilhar Uma universidade identificou e avaliou os riscos associados com a administrao de seus dormitrios de estudantes e concluiu que no possua internamente os requisitos necessrios e as funcionalidades para administrar eficazmente essas grandes propriedades residenciais. A universidade terceirizou a administrao do dormitrio a uma empresa de administrao de patrimnio, a fim de apresentar melhores condies de reduzir o impacto e a probabilidade de riscos relacionados com a propriedade. Aceitar Um rgo do governo identificou e avaliou os riscos de incndio de sua infraestrutura por meio de diversas regies geogrficas e o custo de compartilhar o impacto de seu risco mediante cobertura de seguro. O rgo concluiu que o custo adicional dos seguros e os dedutveis associados ultrapassavam o custo provvel de substituio e decidiram aceitar esse risco. Ao determinar respostas a riscos, a administrao dever levar em conta: os efeitos das respostas em potencial sobre a probabilidade e o impacto do risco e que opes de resposta so compatveis com as tolerncias a risco da organizao; os custos versus os benefcios das respostas em potencial; as possveis oportunidades da organizao alcanar seus objetivos vo alm de se lidar com o risco especfico Para os riscos significativos, a organizao tipicamente considera as respostas em potencial com base em um leque de opes de resposta. Esse procedimento possibilita maior profundidade seleo das respostas e desafia o status quo.

Evitar sugere que nenhuma opo de resposta tenha sido identificada para reduzir o impacto e a probabilidade a um nvel aceitvel. Reduzir ou Compartilhar reduzem o risco residual a um nvel compatvel com as tolerncias desejadas ao risco, enquanto Aceitar indica que o risco inerente j esteja dentro das tolerncias ao risco. As opes adequadas de resposta so bvias e bem aceitas em relao a muitos riscos. Por exemplo, para o risco de perder a disponibilidade de processamento de dados, uma opo tpica de resposta seria a implementao de um plano de continuidade do negcio. Em relao a outros riscos, as opes disponveis podem no estar muito aparentes, exigindo investigao e anlise. Por exemplo, a identificao das opes de resposta pertinentes reduo do efeito das atividades da concorrncia sobre o valor de marca poder necessitar de pesquisa de mercado e anlise.

62

PricewaterhouseCoopers

Resposta a Riscos

Avaliao das Possveis Respostas


Os riscos inerentes so analisados, e as respostas avaliadas com a finalidade de se alcanar um nvel de risco residual compatvel com as tolerncias aos riscos da organizao. Geralmente, qualquer uma das vrias respostas compatibilizaro o risco residual com as tolerncias ao risco, e, s vezes, uma combinao de respostas traz o melhor resultado. Por outro lado, s vezes, uma resposta afetar diversos riscos e nesse caso, a administrao poder decidir que no necessitar de medidas adicionais para abordar um determinado risco.

Avaliao do Efeito sobre a Probabilidade e Impacto do Risco


Na avaliao das opes de resposta, a administrao considera o efeito da probabilidade e do impacto do risco, reconhecendo que uma determinada resposta poder afetar, de forma diferente, a probabilidade e o impacto do risco. Por exemplo, uma organizao cujo centro de processamento de dados localiza-se em uma regio assolada por tempestades estabelece um plano de continuidade em outra localidade, a qual, apesar de no ter nenhum efeito sobre a probabilidade de ocorrncia de tempestades, reduz o impacto dos danos s edificaes ou de que o pessoal no consiga acesso ao local de trabalho. Por outro lado, a opo de transferir o centro de processamento de dados para outra regio no reduzir o impacto de uma tempestade da mesma intensidade, mas sim a probabilidade de ocorrncia de tempestades no local da operao. Ao analisar as respostas, a administrao poder considerar eventos e tendncias anteriores, e o potencial de situaes futuras. Via de regra, ao avaliar as respostas alternativas, a administrao determina o seu efeito em potencial, utilizando as mesmas unidades de medida ou as compatveis com as empregadas para o objetivo correspondente.

Avaliao de Custos versus Benefcios


Em razo das limitaes de recursos, as organizaes devem considerar os custos e os benefcios relativos s opes de respostas alternativas ao risco. As medies de custobenefcio para a implementao de respostas a riscos so realizadas com diversos nveis de preciso. De um modo geral, mais fcil tratar do aspecto custo da equao, que, em muitos casos, pode ser quantificado com bastante preciso. Habitualmente, consideram-se todos os custos diretos associados ao estabelecimento de uma resposta, e os custos indiretos, caso sejam mensurveis na prtica. Algumas organizaes tambm incluem os custos de oportunidade associados utilizao dos recursos. Contudo, em alguns casos, difcil quantificar os custos de resposta a riscos. Os problemas de quantificao surgem quando se estima o tempo e o esforo associados a uma determinada resposta, conforme o caso, como, na obteno de inteligncia de mercado a respeito da evoluo das preferncias dos clientes, em atividades da concorrncia ou em outras informaes geradas externamente. O aspecto do benefcio freqentemente implica uma avaliao mais subjetiva. Por exemplo, os benefcios de programas eficazes de treinamento geralmente so aparentes, mas difceis de se quantificar. Em muitos casos, entretanto, o benefcio de uma resposta a risco pode ser avaliado no contexto do benefcio associado com a realizao do objetivo correspondente.

63

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Por ocasio do exame das relaes de custo-benefcio, se a administrao considerar os riscos como inter-relacionados, ser possvel agrupar as respostas de reduo e de compartilhamento de riscos. Por exemplo, quando o risco compartilhado por meio de seguro, pode ser vantajoso combin-los em uma nica aplice, pelo fato dos preos geralmente reduzirem-se quando as exposies combinadas so seguradas sob um nico acordo financeiro.

Oportunidades nas Opes de Resposta


O captulo de identificao de eventos descreve os mtodos pelos quais a administrao identifica eventos em potencial que podem afetar a realizao de seus objetivos, positiva ou negativamente. Os eventos de impacto positivo representam oportunidades e so canalizados de volta para os processos de fixao de estratgias ou objetivos. Da mesma forma, as oportunidades podem ser identificadas quando da resposta ao risco. As consideraes de resposta a riscos no devem estar limitadas exclusivamente reduo de riscos identificados, mas devem considerar novas oportunidades para a organizao. A administrao poder identificar respostas inovadoras, as quais, apesar de se encaixarem nas categorias de respostas descritas anteriormente neste captulo, podem ser inteiramente novas para a organizao ou para a indstria. Essas oportunidades podem emergir quando as opes de resposta a riscos atingem o limite da eficcia e quando refinamentos posteriores provavelmente possibilitaro apenas mudanas marginais ao impacto ou probabilidade do risco. Pode-se citar o exemplo da resposta criativa de uma Companhia de seguros de automveis ao elevado nmero de acidentes em certos cruzamentos. Essa Companhia decidiu financiar melhorias aos semforos existentes, fato que reduziu os sinistros e melhorou suas margens operacionais.

64

PricewaterhouseCoopers

Resposta a Riscos

Respostas Selecionadas
Uma vez avaliados os efeitos das respostas alternativas aos riscos, a administrao decide como administrar o risco ao selecionar uma resposta ou combinao de respostas destinadas a trazer a probabilidade e o impacto do risco a parmetros compatveis de tolerncia a riscos. A resposta no necessita gerar a quantidade mnima de risco residual. Mas quando uma resposta a risco gera um risco residual acima dos limites de tolerncia, a administrao retoma e reexamina a resposta ou, em certos casos, reconsidera os limites de tolerncia estabelecidos em relao a esse risco. Desse modo, o processo de equilbrio entre o risco e a tolerncia a este pode implicar um processo iterativo. A avaliao das respostas alternativas ao risco inerente requer considerar os riscos adicionais que podem ser gerados por uma resposta. Essa considerao tambm poder originar um processo interativo pelo qual, antes de finalizar uma deciso, a administrao leva em conta esses riscos adicionais, inclusive outros que no sejam evidentes imediatamente. Assi que tiver selecionado uma resposta, a administrao poder necessitar desenvolver um plano de implementao para execut-la. Uma parte crtica do plano de implementao o estabelecimento de atividades de controle (discutido no captulo seguinte), para assegurar-se de que a resposta ao risco seja conduzida. A administrao reconhece que sempre existir algum nvel de risco residual, no somente porque os recursos so limitados, mas tambm em decorrncia da incerteza e das limitaes inerentes a todas as atividades empresariais.

Viso em Portflio
O gerenciamento de riscos corporativos requer que o risco seja considerado a partir de uma perspectiva de toda a organizao ou de portflio. Geralmente, a administrao adota uma abordagem na qual o risco considerado, primeiramente, em relao a cada unidade de negcios, departamento ou funo, em que o gerente responsvel desenvolve uma avaliao combinada dos riscos para a unidade, refletindo o perfil de risco residual desta unidade em relao a seus objetivos e tolerncias a riscos. Tendo por base uma viso dos riscos em relao a unidades individuais, a alta administrao de uma organizao ter melhores condies de adotar uma viso de portflio para determinar se o seu perfil de risco residual compatvel ao seu apetite a riscos relativo aos objetivos. Os riscos nas diferentes unidades podem estar dentro dos nveis de tolerncia referentes a cada uma das unidades, mas, considerados em conjunto, os riscos podero ultrapassar o apetite a risco da organizao como um todo, em cujo caso ser necessria uma resposta diferente ou adicional ao risco para compatibiliz-lo com o apetite a riscos. Por outro lado, os riscos podem equilibrar-se naturalmente na organizao como um todo se, por exemplo, determinadas unidades individuais apresentam maior risco, enquanto outras so relativamente aversas a estes, de forma tal que o risco, em seu todo, seja compatvel com o apetite a risco, eliminando-se assim a necessidade de uma resposta diferente a risco. Uma viso de portflio dos riscos pode ser apresentada nas formas mais variadas, como por exemplo, ao focalizar os principais riscos ou categorias de eventos por meio das unidades de negcios ou ao considerar a organizao como um todo, utilizando medies como capital ajustado ao risco ou capital em risco. Essas medies compostas so particularmente teis quando avalia o risco em relao aos objetivos definidos na forma de ganhos, crescimento ou outras medidas de desempenho, s vezes, relacionadas com o capital

65

Gerenciamento de Riscos Corporativos - Estrutura Integrada

alocado ou disponvel. Essas medidas de viso de portflio so capazes de fornecer informaes teis para redistribuir capital s unidades de negcios e para modificar o direcionamento estratgico. Temos o exemplo de uma Companhia de manufatura que adota uma viso de portflio de risco cujo objetivo a receita operacional. A administrao utiliza categorias comuns de eventos para identificar riscos em suas unidades de negcios. Posteriormente, desenvolve um grfico que apresenta, por categoria e por unidade de negcios, a probabilidade do risco em termos de freqncia em um perodo de tempo, bem como os relativos impactos sobre a receita. O resultado uma viso composta ou de portflio do risco que a Companhia enfrenta, e o conselho de administrao e a diretoria executiva esto em condies de considerar no apenas a natureza, a probabilidade e o tamanho relativo dos riscos, mas tambm, como estes fatores podem afetar sua receita.

Outro exemplo o de uma instituio financeira que visita as unidades de negcios para estabelecer objetivos, tolerncias a riscos e medidas de desempenho, tudo em termos de retorno de capital ajustado ao risco. Esse tipo de medio, quando aplicado de forma consistente, possibilita administrao realizar as avaliaes combinadas de risco das unidades na viso de portflio de riscos para a instituio como um todo, permitindo que a administrao considere os riscos das unidades por objetivos e determine se o apetite a riscos da instituio encontra-se em nvel aceitvel. Ao examinar os riscos a partir de uma perspectiva de portflio, a administrao tem condies de verificar se a organizao permanece nos limites de seu apetite a riscos. Alm disso, poder reavaliar a natureza e o tipo de risco que deseja assumir. Nos casos em que uma viso de portflio apresente riscos significativamente menores do que o apetite a risco da organizao, caber administrao motivar os gerentes de cada unidade de negcio a assumir maior risco em reas dirigidas, a fim de intensificar o crescimento e o retorno total.

66

PricewaterhouseCoopers

Atividades de Controle

7. Atividades de Controle

Resumo do captulo: as atividades de controle so as polticas e os procedimentos que contribuem para assegurar que as respostas aos riscos sejam executadas. Essas atividades ocorrem em toda a organizao, em todos os nveis e em todas as funes, pois compreendem uma srie de atividades to diversas, como aprovao, autorizao, verificao, reconciliao e reviso do desempenho operacional, da segurana dos bens e da segregao de responsabilidades.
As atividades de controle so polticas e procedimentos que direcionam as aes individuais na implementao das polticas de gesto de riscos, diretamente ou mediante a aplicao de tecnologia, a fim de assegurar que as respostas aos riscos sejam executadas. Essas atividades podem ser classificadas com base na natureza dos objetivos da organizao aos quais os riscos de estratgia, operao, comunicao e cumprimento de diretrizes esto associados. A despeito do fato de que algumas atividades de controle relacionam-se exclusivamente com uma categoria, sempre haver alguma sobreposio. Dependendo das circunstncias, uma determinada atividade de controle pode ajudar a atender aos objetivos da organizao em mais de uma categoria. Por exemplo, esses controles tambm podem assegurar relatrios confiveis, que, por sua vez, podem servir para assegurar o seu cumprimento e assim por diante.

67

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Integrao com Resposta a Riscos


Ao selecionar as respostas aos riscos, a administrao identifica as atividades de controle necessrias para assegurar que estas sejam executadas de forma adequada e oportuna. A associao de objetivos, respostas a riscos e atividades de controle ilustrada no exemplo a seguir: uma Companhia estabelece como objetivo alcanar ou exceder as metas de vendas, identificando como risco a falta de conhecimentos suficientes de fatores externos sejam as necessidades atuais do cliente sejam as em potencial. Para reduzir a probabilidade da ocorrncia e do impacto do risco, a administrao recorre aos histricos de compras dos clientes existentes e empreende novas iniciativas de pesquisa de mercado. Essas respostas a riscos servem de referncia para estabelecer atividades de controle, e, tambm, acompanhar o progresso e o desenvolvimento do histrico de compras de cliente em relao s programaes estabelecidas e adoo de medidas para assegurar a preciso dos dados relatados. Sendo assim, as atividades de controle so diretamente inseridas no processo de administrao. Ao selecionar as atividades de controle, a administrao considera a forma como essas atividades se relacionam entre si. Em alguns casos, uma nica atividade de controle aborda diversas respostas a riscos. Em outros, diversas atividades de controle so necessrias para apenas uma resposta a risco. E, ainda, em outras situaes, a administrao poder constatar que as atividades de controle existentes so suficientes para assegurar a execuo eficaz das novas respostas a riscos. Embora as atividades de controle geralmente sejam estabelecidas para assegurar que as respostas aos riscos sejam bem executadas em relao a determinados objetivos, as prprias atividades de controle so respostas a riscos. Por exemplo, para que um objetivo assegure que determinadas transaes tenham sido devidamente autorizadas, a resposta provavelmente ser na forma de atividades de controle, como a diferenciao de deveres e a aprovao pelo pessoal de superviso. Da mesma forma que a seleo de respostas a riscos considera a adequao e os riscos remanescentes ou residuais, a seleo ou a reviso das atividades de controle deve avaliar a pertinncia e a adequao aos objetivos correspondentes. Isso pode ser alcanado considerando separadamente da adequao das atividades de controle, ou, considerando o risco residual nos contextos tanto da resposta ao risco quanto das atividades de controle correspondentes. As atividades de controle so importantes elementos do processo por meio do qual uma organizao busca atingir os objetivos do negcio. Elas no so executadas simplesmente por executar ou por parecer a coisa certa ou apropriada a ser feita. No exemplo acima, a administrao necessita adotar medidas para assegurar que as metas de vendas sejam alcanadas. As atividades de controle servem como mecanismos de gesto do cumprimento desse objetivo.

68

PricewaterhouseCoopers

Atividades de Controle

Tipos de Atividades de Controle


Existe uma variedade de descries distintas quanto aos tipos de atividades de controle, inclusive as preventivas, as detectivas, as manuais, as computadorizadas e as de controles administrativos. Essas atividades tambm podem ser classificadas com base nos objetivos de controle especificados, como o de assegurar a integridade e a preciso do processamento de dados. O Anexo 7.1, a seguir; descreve as atividades de controle geralmente utilizadas, as quais representam apenas uma parcela dos muitos procedimentos comumente executados pelo pessoal em vrios nveis organizacionais. A meta dessas atividades reforar o cumprimento de planos de ao estabelecidos e, tambm, manter as organizaes direcionadas ao cumprimento de seus objetivos. Elas esto apresentadas apenas para ilustrar a gama e a variedade de atividades de controle, no para sugerir qualquer classificao especial.

Anexo 7.1
Revises da Alta Direo a alta direo compara o desempenho atual em relao ao orado, s previses, aos perodos anteriores e aos de concorrentes. As principais iniciativas so acompanhadas, como campanhas de marketing, processos de melhoria de produo e programas de conteno ou de reduo de custo, para medir at que ponto as metas esto sendo alcanadas. A implementao de planos monitorada no caso de desenvolvimento de novos produtos, join ventures ou novos financiamentos. Administrao Funcional Direta ou de Atividade gerentes, no exerccio de suas funes ou atividades examinam relatrios de desempenho. Um gerente responsvel pelos emprstimos bancrios a consumidores revisa os relatrios por filial, regio e tipo de emprstimo (com cauo), verificando resumos e identificando tendncias e associando os resultados a estatsticas econmicas e metas. Por sua vez, os gerentes de filiais tambm se concentram em questes de cumprimento de polticas, revisando relatrios exigidos por rgos reguladores a respeito de novos depsitos acima de um determinado valor. So realizadas reconciliaes dos fluxos de caixa dirios, com as posies lquidas relatadas centralmente para transferncias e investimentos no overnight. Processamento da Informao uma variedade de controles realizada para verificar a preciso, a integridade e a autorizao das transaes. Os dados inseridos ficam sujeitos a verificaes de edio on-line ou combinao com arquivos aprovados de controle. Um pedido de cliente, por exemplo, somente poder ser aceito aps fazer referncia a um arquivo de cliente e ao limite de crdito aprovado. As seqncias numricas das transaes so levadas em conta, sendo as excees acompanhadas e relatadas aos supervisores. O desenvolvimento de novos sistemas e as mudanas nos j existentes so controlados da mesma forma que o acesso a dados, arquivos e programas. Controles Fsicos os equipamentos, estoques, ttulos, dinheiro e outros bens so protegidos fisicamente, contados periodicamente e comparados com os valores apresentados nos registros de controle. Indicadores de Desempenho relacionar diferentes conjuntos de dados, sejam eles operacionais sejam financeiros, em conjunto com a realizao de anlises dos relacionamentos e das medidas de investigao e correo, funciona como uma atividade de controle. Os indicadores de

69

Gerenciamento de Riscos Corporativos - Estrutura Integrada

desempenho incluem, por exemplo, ndices de rotao de pessoal por unidade. Ao investigar resultados inesperados ou tendncias incomuns, a administrao poder identificar circunstncias nas quais a falta de capacidade para concluir processos fundamentais pode significar menor probabilidade dos objetivos serem alcanados. A forma como a administrao utiliza essas informaes somente no caso de decises operacionais ou, tambm, no caso do acompanhamento de resultados imprevistos nos sistemas de comunicaes determinar se a anlise dos indicadores de desempenho por si s atender s finalidades operacionais, bem como s finalidades de controle da comunicao.

Segregao de funes as obrigaes so atribudas ou divididas entre pessoas diferentes com a finalidade de reduzir o risco de erro ou de fraude. Por exemplo, as responsabilidades de autorizao de transaes, do registro ed a entrega do bem em questo so divididas. O gerente que autoriza vendas a crdito no deve ser responsvel por manter os registros de contas a pagar nem pela distribuio de recibos de pagamentos. Da mesma forma, os vendedores no devem modificar arquivos de preos de produtos nem as taxas de comisso.

Geralmente, implementa-se uma combinao de controles para tratar das respostas relacionadas a riscos. A administrao de uma Companhia, por exemplo, estabelece limites para transaes, a fim de administrar os riscos relacionados com um dado portflio de investimentos, e cria atividades de controle especficas para assegurar que os limites das transaes no sejam ultrapassados. As atividades de controle incluem os preventivos, que evitam a concretizao de determinadas transaes, e os de deteco, que identificam outras transaes discrepantes oportunamente. Essas atividades combinam controles informatizados e manuais, inclusive os controles automatizados, para assegurar que todas as informaes sejam colhidas corretamente e que os procedimentos de rotina permitam que os indivduos responsveis autorizem ou aprovem as decises de investimentos.

70

PricewaterhouseCoopers

Atividades de Controle

Polticas e Procedimentos
De modo geral, as atividades de controle incluem dois elementos: uma poltica que estabelece aquilo que dever ser feito e os procedimentos para faz-la ser cumprida. Por exemplo, uma poltica poder requerer a reviso das atividades de negociao do cliente pelo gerente de varejo da filial com a corretora. O procedimento a prpria reviso, realizada oportunamente e com especial ateno para os fatores estabelecidos na poltica, como a natureza e o volume dos ttulos transacionados e o volume destes em relao ao patrimnio lquido e idade do cliente. Muitas vezes, as polticas so comunicadas verbalmente. As que no so escritas podem ser eficazes quando existem h muito tempo e so adequadamente entendidas, e nas pequenas organizaes em que os canais de comunicao envolvem poucas camadas gerenciais e existe uma estreita interao e superviso dos empregados. No entanto, independentemente do fato de estar escrita ou no, uma poltica deve ser implementada com ateno, de forma conscienciosa e consistente. Um procedimento no ter nenhuma utilidade se for executado mecanicamente, sem um enfoque ntido e contnuo nas condies s quais a poltica se destina. Alm disso, essencial que as condies identificadas em razo do procedimento sejam analisadas e que medidas corretivas apropriadas sejam adotadas. As medidas de acompanhamento podem variar com base no tamanho e na estrutura organizacional da organizao e podem percorrer os processos formais de comunicao, como no caso de uma Companhia de grande porte em que as unidades comerciais relatam o motivo pelo qual suas metas no foram alcanadas e quais as medidas adotadas para evitar a repetio do evento ou como no caso de um proprietrio-diretor de uma pequena empresa, que atravessa o corredor para falar com o gerente de fbrica sobre o que deu errado e o que necessita ser feito.

Controles dos Sistemas de Informaes


A dependncia cada vez maior em relao a sistemas de informaes para auxiliar a operao de uma organizao e para atender aos objetivos de comunicao e ao cumprimento de polticas traz a necessidade de controle dos sistemas mais significativos. Dois grupos amplos de atividades de controle dos sistemas de informao podem ser utilizados. O primeiro diz respeito aos controles gerais, que se aplicam a praticamente todos os sistemas e contribuem para assegurar uma operao adequada e contnua. O segundo grupo o dos controles de aplicativos, que incluem etapas para avaliar o processo por meio de cdigos de programao dentro do software. Os controles gerais e os de aplicativos, em conjunto com os processos de controle manual, quando necessrios, asseguram a integridade, a preciso e a validade das informaes.

Controles Gerais
Os controles gerais estendem-se pela administrao da tecnologia da informao, pela infra-estrutura da tecnologia da informao, pela administrao da segurana, pela aquisio de software, pelo desenvolvimento e pela manuteno. Esses controles aplicam-se a todos os sistemas: os de grande porte ou mainframe para cliente/servidor aos ambientes de computadores portteis e os de mesa. O Anexo 7.2 apresenta alguns exemplos de controles comuns nessas categorias.

71

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Anexo 7.2
Administrao da Tecnologia da Informtica um comit diretivo supervisiona, monitora e relata as atividades da tecnologia da informtica e as iniciativas de melhoria. Administrao da Segurana controles lgicos de acesso como as senhas de segurana rede, base de dados e aos aplicativos. Contas de usurios e controles relacionados de privilgios de acesso contribuem para limitar os usurios autorizados a utilizar apenas os aplicativos ou funes de aplicativos necessrias ao cumprimento de suas tarefas. Firewalls da Internet e redes virtuais particulares protegem os dados contra acesso externo no autorizado.

Infra-estrutura da Tecnologia da Informtica os controles so aplicados para definir, adquirir, instalar, configurar, integrar e fazer a manuteno de sistemas. Os controles podem incluir acordos de nveis de servio que estabelecem e reforam o desempenho do sistema, planejamento da continuidade Aquisio, Desenvolvimento e Manuteno dos negcios que mantm a disponibilidade de Software os controles de aquisio do sistema e, tambm, acompanhamento e de implementao de software esto do desempenho da rede, no caso de incorporados em um processo estabelecido para falhas operacionais e da programao das administrar mudanas, inclusive os requisitos operaes de informtica. O software do de documentao, o teste de aceitao pelo sistema, componente da infra-estrutura usurio e as avaliaes de riscos do projeto. O da tecnologia da informao, pode incluir acesso a cdigos-fonte controlado por meio de controles da parte da administrao e do uma biblioteca de cdigos. Os programadores comit diretivo, como reviso e aprovao de de software trabalham somente em ambientes novas aquisies significativas, limitao do isolados de desenvolvimento/teste e no acesso configurao do sistema e operao tm acesso ao ambiente da produo. Os do software de sistema, reconciliaes controles de mudanas de sistema incluem a automatizadas dos dados acessados por obrigatoriedade de autorizao para solicitar meio de software intermedirio e deteco de as mudanas, a reviso das mudanas, paridade por bit para a comunicao de erros. as aprovaes, a documentao, o teste, Os controles de software do sistema tambm as implicaes das mudanas para outros incluem o monitoramento de incidentes, logging componentes da tecnologia da informtica, os de sistema e reviso dos relatrios, detalhando resultados de testes de estresse e os protocolos a utilizao de utilitrios para alterao de de implementao. dados.

Controle de Aplicativos
Os controles de aplicativos concentram-se diretamente na configurao, preciso, autorizao e validao da coleta e do processamento de dados. Esses controles ajudam a assegurar que os dados sejam colhidos ou gerados quando houver necessidade, quando os aplicativos de apoio estiverem disponveis e quando os erros de interface forem detectados prontamente.

72

PricewaterhouseCoopers

Atividades de Controle

Um objetivo importante dos controles de aplicativos evitar a possibilidade de erros no sistema, alm de detectar e corrigir os que estiverem presentes. Para isso, esses controles comumente utilizam verificaes de edio, que consistem em verificar o formato, a existncia, a razoabilidade e permitam verificar dados construdos nos aplicativos durante a sua fase de desenvolvimento. Se formulados adequadamente, podem possibilitar o controle dos dados que entram no sistema.

O Anexo 7.3 apresenta exemplos de controles de aplicativos. Esses controles so apenas alguns de uma ampla srie de controles realizados todos os dias, mediante clculos e comparaes que servem para evitar e detectar a coleta e o processamento incompleto, inexato, inconsistente e inadequado de dados.

Anexo 7.3
Balano das Atividades de Controle detecta erros de captura de dados por meio da reconciliao da quantidade imputada manual ou automaticamente em relao ao total controlado. Uma Companhia faz o balano automtico entre a quantidade total de transaes processadas e lanadas no seu sistema de entrada de pedidos on-line e a quantidade de transaes recebidas em seu sistema de faturamento. Dgitos de Verificao validam os dados por meio de clculos. gerado partir do cdigo da organizao, um dgito de verificao para detectar e corrigir pedidos imprecisos de seus fornecedores. Listagens Predefinidas de Dados fornecem aos usurios listagens predefinidas de dados aceitveis. O site de intranet de uma organizao inclui listas suspensas dos produtos oferecidos para venda. Testes da Razoabilidade de Dados comparam os dados colhidos com um padro atual ou aprendido de razoabilidade. Um pedido a fornecedor de uma loja de material de construo de varejo solicitando uma quantidade excessiva de metros cbicos de madeira ser identificado na comparao de razoabilidade e ir requerer uma reviso. Testes Lgicos incluem a utilizao de limites de faixas ou de valor ou testes alfanumricos. Um rgo do governo constata erros em potencial em nmero do seguro social ao verificar se todos os nmeros digitados contm nove dgitos.

73

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Especficos da Organizao
Pelo fato de cada organizao ter seu prprio conjunto de objetivos e abordagens de implementao, sempre haver diferenas nas respostas a riscos e nas atividades de controle relacionadas. Ainda que duas organizaes com objetivos idnticos tomem decises semelhantes sobre o modo de atingir os seus objetivos, provvel que as atividades de controle sejam diferentes. As organizaes, por serem administradas por pessoas diferentes, utilizam critrios prprios para exercer o controle. Alm disso, os controles refletem o ambiente e a indstria nos quais a organizao opera, bem como o porte e a complexidade, a natureza e o alcance de suas atividades, sua histria e sua cultura. As organizaes de grande porte e mais complexas, com diversas atividades, podem enfrentar questes de controle mais difceis do que organizaes pequenas, simples com atividades menos variadas. Uma Companhia de operaes descentralizadas, que ressalte a autonomia local e a inovao, apresentar caractersticas de controle distintas de outra altamente centralizada. Entre os outros fatores que podem influenciar o grau de complexidade da organizao e, portanto, a natureza de seus controles esto a localizao e a disperso geogrfica, o tamanho e o grau de sofisticao das operaes, bem como os mtodos de processamento das informaes.

74

PricewaterhouseCoopers

Informao e Comunicao

8. Informao e Comunicao

Resumo do captulo: as informaes pertinentes so identificadas, coletadas e comunicadas de forma coerente e no prazo, a fim de permitir que as pessoas cumpram as suas responsabilidades. Os sistemas de informtica geralmente empregam dados gerados internamente e informaes de fontes externas, possibilitando, dessa forma, esclarecimentos para o gerenciamento de riscos e tomada de deciso baseadas em dados relacionados aos objetivos. A comunicao eficaz tambm ocorre ao fluir em todos os nveis da organizao. Todo o pessoal recebe uma mensagem clara da alta administrao, alertando que as responsabilidades do gerenciamento de riscos corporativos devem ser levadas a srio. Cada um entende a sua prpria funo no gerenciamento de riscos corporativos, assim como as atividades individuais que se relacionam com o trabalho dos demais. As pessoas devero ter uma forma de comunicar informaes significativas dos escales inferiores aos superiores. Deve haver, tambm, uma comunicao eficaz com terceiros, como clientes, fornecedores, rgos reguladores e acionistas.
Toda organizao identifica e coleta uma ampla gama de informaes relacionadas a atividades e eventos externos e internos, pertinentes administrao. Essas informaes so transmitidas ao pessoal em uma forma e um prazo que lhes permita desempenhar suas responsabilidades na administrao de riscos corporativos e outras.

75

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Informaes
As informaes so necessrias em todos os nveis de uma organizao, para identificar, avaliar e responder a riscos, administr-la e alcanar seus objetivos. Uma ampla srie de informaes utilizada, pertinente a uma ou mais categorias de objetivos. As informaes operacionais de fontes internas e externas, de natureza financeira e nofinanceira, so relevantes a diversos objetivos comerciais. As informaes financeiras, por exemplo, so empregadas no desenvolvimento de demonstraes financeiras para fins de comunicao e decises operacionais como o monitoramento do desempenho e da alocao de recursos. As informaes financeiras confiveis so fundamentais ao planejamento, elaborao de oramentos, fixao de preos, s avaliaes do desempenho de vendedores, avaliao de empreendimentos conjuntos e alianas, bem como uma faixa de outras atividades gerenciais. Da mesma forma, as informaes operacionais so essenciais ao desenvolvimento de relatrios financeiros e outros, entre eles as transaes rotineiras de compras, vendas e outras, alm de informaes em relao ao lanamento de produtos da concorrncia ou de suas condies econmicas, as quais podem influenciar avaliaes de estoques e de contas a receber. E as informaes necessrias para fins de conformidade, como dados relacionados emisso de poluentes na atmosfera ou dados dos empregados, tambm podem atender aos objetivos dos relatrios financeiros. As informaes originam-se de muitas fontes internas e externas, e nas formas quantitativas e qualitativas e facilitam as respostas s condies alteradas. Um dos desafios que se apresenta administrao o processamento e a depurao de grandes volumes de dados em informaes teis. Esse processo analisa e relata as informaes relevantes. Esses sistemas de informaes geralmente informatizados, mas que se utilizam de entradas ou interfaces manuais comumente so considerados no contexto do processamento de dados gerados internamente. Porm os sistemas de informaes possuem uma aplicao muito mais ampla. Esses sistemas tambm tratam de informaes referentes a eventos internos e externos, por exemplo, dados econmicos especficos a um mercado ou uma indstria que apontam para mudanas na demanda dos produtos ou servios de uma Companhia, dados de bens e servios para processos de produo, informaes de inteligncia de mercado sobre mudanas nas preferncias ou exigncias de consumidores, informaes relacionadas s atividades de desenvolvimento de produtos da concorrncia e iniciativas legislativas ou reguladoras. Os sistemas de informaes podem ser formais ou informais. Conversas com clientes, fornecedores, rgos reguladores e empregados da organizao freqentemente provm informaes crticas necessrias identificao de riscos e de oportunidades. Da mesma forma, a participao em seminrios de profissionais ou da indstria, bem como o ingresso em associaes comerciais e outras podem ser fontes valiosas de informaes. , particularmente, importante manter as informaes compatveis com as necessidades, quando uma Companhia enfrenta mudanas fundamentais no setor, concorrentes altamente inovadores e rpidos ou mudanas significativas na demanda dos clientes. Os sistemas de informaes modificam-se conforme necessrio para o suporte de novos objetivos. Eles identificam e capturam as informaes necessrias, financeiras e nofinanceiras, processando e relatando-as na forma e no tempo que as torne teis ao controle da atividade da empresa.

76

PricewaterhouseCoopers

Informao e Comunicao

Sistemas Estratgicos e Integrados


Na medida em que as Companhias tornam-se mais colaborativas e integradas com clientes, fornecedores e parceiros de negcio, a diviso entre a arquitetura dos sistemas de informaes de uma organizao e a de terceiros torna-se cada vez menos ntida. Conseqentemente, o processamento e a administrao de dados, geralmente, tornam-se uma responsabilidade compartilhada por diversas organizaes. Nesses casos, a arquitetura dos sistemas de informaes de uma organizao deve ser suficientemente flexvel e gil para integrar-se de forma efetiva s partes externas relacionadas. O desenho da arquitetura de um sistema de informaes e a aquisio de tecnologia so aspectos importantes da estratgia de uma organizao, e as opes em relao tecnologia podem ser crticas realizao dos objetivos. As decises referentes escolha e implementao da tecnologia dependem de inmeros fatores, inclusive de metas organizacionais, necessidades de mercado e requisitos competitivos. Embora os sistemas de informaes sejam fundamentais ao eficaz gerenciamento dos riscos corporativos, o prprio uso de tcnicas de gesto de riscos pode ajudar nas decises tecnolgicas. Desde h muito, os sistemas de informaes foram projetados e utilizados para fornecer suporte estratgia comercial. Essa funo torna-se crtica medida que as necessidades do negcio modificamse, e a tecnologia cria novas oportunidades de explorar vantagens estratgicas. Em alguns casos, as mudanas na tecnologia reduziram a vantagem obtida na alocao inicial de recursos, dando lugar a um novo direcionamento estratgico. Por exemplo, os sistemas de reservas de Companhias areas, que possibilitam aos agentes de viagens um fcil acesso s informaes de vo, posteriormente, deslocaram-se para sistemas de reservas pela Internet com acesso do cliente, reduzindo significativamente ou at eliminando a figura do agente de viagens tradicional.

Integrao com Operaes


Freqentemente, os sistemas de informaes esto totalmente integrados maioria dos aspectos das operaes. Os sistemas da Internet ou com base nela so comuns, com muitas organizaes oferecendo sistemas de informaes de toda a organizao, como o planejamento de recursos. Esses aplicativos facilitam o acesso s informaes que anteriormente ficavam retidas nos silos funcionais ou nos departamentos e as disponibilizam para um uso amplo pela administrao. As transaes so registradas e rastreadas em tempo real, permitindo aos gestores acesso imediato e mais eficaz a informaes financeiras e operacionais para o controle das atividades comerciais. Por exemplo, uma Companhia de construo civil que atua em diversos projetos de grande escala emprega um sistema integrado, com base na Extranet para alcanar s expectativas de eficincia e dos mercados. O sistema prov informaes que auxiliam o gestor a acompanhar o estoque e as peas fornecidas ao cliente, identificar materiais em excesso ou em falta em diversos locais, obter economias de custo com os fornecedores de materiais comuns ou, ainda, aliar-se a organizaes semelhantes para obter descontos de volume, bem como monitorar as atividades dos sub empreiteiros. O sistema tambm permite que os empregados compartilhem exatamente as plantas atuais com os arquitetos, engenheiros, clientes, sub empreiteiros e rgos normativos, bem como, ao mesmo tempo, manter o controle da verso da planta. Alm disso, o sistema abrange funcionalidades de gesto de conhecimentos que permitem aos empregados compartilhar solues inovadoras por toda a organizao.

77

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Para fornecer suporte eficaz administrao de riscos corporativos, a organizao coleta e utiliza dados histricos e correntes. Os dados histricos permitem que a organizao acompanhe o desempenho real em relao s metas, aos planos e s expectativas. Esses dados possibilitam insights sobre o seu desempenho nas mais diversas condies, permitindo que a administrao identifique correlaes e tendncias, bem como faa previses em relao ao desempenho futuro. Os dados histricos tambm possibilitam um aviso antecipado dos eventos em potencial que merecem a ateno da administrao. Os dados atuais ou da situao corrente permite que uma organizao determine se est ou no dentro das tolerncias estabelecidas para riscos. Esses dados possibilitam aos gestores uma viso em tempo real dos riscos existentes em um processo, uma funo ou uma unidade e a identificao de variaes em relao s expectativas. Para muitas organizaes, o desenvolvimento dos sistemas de informao melhora a capacidade de mensurar e monitorar o desempenho, bem como apresentar informaes analticas no mbito de toda a organizao. A complexidade dos sistemas e a integrao continuam com as organizaes ao utilizar as novas funcionalidades da tecnologia na medida em que surgem. Contudo, a crescente dependncia em relao aos sistemas de informaes nos nveis estratgico e operacional gera novos riscos como a violao da segurana de informaes ou crimes cibernticos que necessitam ser integrados administrao de riscos.

Profundidade e Pontualidade das Informaes


A infra-estrutura de informaes obtm e colhe os dados de acordo com uma programao e a profundidade consistentes com a necessidade que a organizao tem de avaliar, responder a riscos e permanecer dentro de suas tolerncias a riscos. A pontualidade do fluxo de informaes necessita ser consistente com o ndice de mudana dos ambientes interno e externo. A importncia da profundidade dos dados ilustrada, considerando-se os eventos diferentes que afetam uma corretora de seguros situada em uma cidade sujeita a inundaes. Como parte de seu planejamento da continuidade dos negcios, a administrao mantm uma percepo generalizada das condies de inundao em potencial e posiciona-se para orientar o pessoal quando devem se mudar para as instalaes de emergncia. As informaes colhidas nesse nvel elevado so suficientes para permitir que a corretora administre o risco de forma adequada. Por outro lado, na condio de corretora, a empresa busca e coleta continuamente as alteraes nos preos das aes, das obrigaes e das commodities at vrias casas decimais. Esse nvel de pontualidade e de detalhe de dados consistente com a necessidade que a corretora tem de responder imediatamente a mudanas de preos que podem desencadear riscos, como excesso de exposio a um determinado setor ou segurana de mercado de forma inconsistente com o apetite a riscos. A infra-estrutura de informaes converte dados em informaes pertinentes que ajudaro os funcionrios a conduzir o gerenciamento de riscos corporativos e outras responsabilidades. As informaes so fornecidas em uma programao e forma que possa ser acessada, prontamente utilizada e associada a determinadas responsabilidades.

78

PricewaterhouseCoopers

Informao e Comunicao

Avanos na coleta, no processamento e no armazenamento de dados provocaram um crescimento exponencial no volume de dados. Contando com mais dados disponveis geralmente em tempo real para um maior nmero de pessoas em uma organizao, o desafio ser evitar sobrecarga de informaes assegurando-se um fluxo para as informaes corretas, na forma correta, no nvel correto de detalhes, para as pessoas certas, na ocasio oportuna. Ao desenvolver a infra-estrutura de conhecimento e de informaes, devem-se considerar os diferentes requisitos de informaes de cada usurio e departamento individual, bem como resumir no nvel estipulado as informaes que necessitam os diferentes nveis de gesto.

Qualidade das Informaes


Em face da crescente dependncia em relao a sistemas sofisticados de informaes e sistemas e processos automatizados de deciso, acionados por dados, a confiabilidade dos dados um fator crtico. Dados imprecisos podem gerar riscos no identificados ou avaliaes deficientes e decises gerenciais inadequadas. A qualidade das informaes implica verificar se: O contedo apropriado est no nvel de detalhes adequado? As informaes so oportunas estaro disponveis quando necessrio? As informaes so atuais so as mais recentes? Para aprimorar a qualidade dos dados, as organizaes estabelecem programas de gerenciamento de dados do mbito de toda a organizao, abrangendo a aquisio, a manuteno e a distribuio de informaes relevantes. Sem esses programas, os sistemas de informaes no seriam capazes de fornecer as informaes que a administrao e outros empregados venham a necessitar. So muitos os desafios: necessidades funcionais conflitantes, limitaes de sistema e processos no integrados podem inibir a aquisio de dados e o uso eficaz. Para atender a esses desafios, a administrao estabelece um plano estratgico com clara definio de responsabilidades pela integridade dos dados e executa avaliaes peridicas da qualidade dos dados. De posse das informaes corretas oportunamente e no local adequado, essencial conduzir o gerenciamento de riscos corporativos. Por esse motivo, os sistemas de informaes, apesar de serem um componente do gerenciamento de riscos corporativos, devem tambm ser controlados. As informaes so exatas os dados esto corretos? As informaes so de fcil acesso so de fcil obteno por aqueles que as necessitam?

79

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Comunicaes
A comunicao inerente a todos os sistemas de informaes. Como j discutimos acima, os sistemas de informaes devem fornecer informaes ao pessoal apropriado para que este possa desincumbir-se de suas responsabilidades operacionais, de comunicao e de conformidade. Porm a comunicao tambm deve ocorrer em um sentido mais amplo, tratando de expectativas, responsabilidades de indivduos e grupos, bem como outras questes importantes.

Internas
A administrao fornece comunicaes especficas e dirigidas que abordam as expectativas de comportamento e as responsabilidades do pessoal. Isso inclui uma clara definio da filosofia e da abordagem do gerenciamento de riscos corporativos, alm de uma clara delegao de autoridade. A comunicao referente aos processos e aos procedimentos dever alinhar-se e apoiar a cultura desejada. As comunicaes devem transmitir com eficcia: a importncia e a pertinncia do gerenciamento de riscos corporativos eficaz; os objetivos da organizao; o apetite a riscos e a respectiva tolerncia; uma linguagem comum de riscos; as funes e as responsabilidades do pessoal ao conduzir e apoiar os componentes do gerenciamento de riscos corporativos. Todos os empregados, especialmente os indivduos aos quais foram atribudas importantes responsabilidades de gesto operacional ou financeira, necessitam receber uma mensagem clara da alta administrao alertando que o gerenciamento de riscos corporativos deve ser levado a srio. Tanto a clareza da mensagem e a eficcia com a qual comunicada so fatores importantes. O pessoal tambm necessita saber de que forma as suas atividades relacionam-se com o trabalho dos outros. Esse conhecimento necessrio para reconhecer um problema, determinar a sua causa e definir uma medida corretiva. Alm disso, necessitam saber o que considerado comportamento aceitvel e inaceitvel. J tivemos a oportunidade de ver exemplos famosos de relatrios fraudulentos nos quais os gestores que, pressionados para observar oramentos, mascararam resultados operacionais. Em diversos casos, ningum havia dito ao pessoal envolvido que esses relatos enganosos eram ilegais ou at imprprios. Esses casos ressaltam a natureza crtica da forma pela qual as mensagens so comunicadas em uma organizao. Um gestor que instrui seus subordinados a respeitar o oramento, sem importar-se com o que poder acontecer poder estar, inconscientemente, enviando-lhes uma mensagem equivocada. Os empregados da linha de frente que tratam questes operacionais crticas todos os dias, geralmente, tm melhor condio de reconhecer problemas na medida em que surgem. Assim, cabe aos canais de comunicao assegurar que o pessoal capaz de comunicar informaes baseadas em riscos por todas as unidades comerciais, os processos ou os silos funcionais e para os seus superiores. Por exemplo, representantes de vendas ou gerentes de contas podem conhecer necessidades importantes de design de produto do cliente, o pessoal da produo pode constatar deficincias custosas de processo, e o pessoal de compras pode se deparar com

80

PricewaterhouseCoopers

Informao e Comunicao

incentivos indevidos de fornecedores. As falhas de comunicao podem ocorrer quando pessoas ou unidades perdem a motivao de fornecer informaes importantes a outras pessoas ou no dispem de um meio de faz-lo. O pessoal pode estar ciente de riscos significativos, mas no se mostrar disposto nem capaz de relat-los. Para que essas informaes possam ser relatadas, dever haver canais de comunicao abertos e uma ntida disposio de ouvi-los. O pessoal deve acreditar que os seus superiores realmente desejam conhecer os problemas tratando-os, desse modo, com eficcia. Quase todos os gestores reconhecem intelectualmente que devem evitar atirar no mensageiro. Porm, quando envolvidos nas presses do dia-a-dia, podem no se mostrar muito receptivos a pessoas que lhes tragam problemas verdadeiros. Os empregados aprendem rapidamente a identificar os sinais de que um superior no tem tempo ou interesse de tratar dos problemas que constataram. Para piorar ainda mais a situao, o gestor no receptivo sempre o ltimo a saber que o canal de comunicao foi efetivamente desativado. Na maioria dos casos, as linhas normais de comunicao em uma organizao representam os canais adequados. Contudo, em determinadas circunstncias, so necessrias linhas separadas de comunicao, que serviro de proteo contra falhas, caso os canais normais apresentem-se inoperantes. Muitas organizaes estabelecem e fazem os empregados saber de um canal direto com o auditor interno chefe ou consultor jurdico ou outro empregado de alto escalo que tenha acesso diretoria executiva, com o processo de superviso pelo conselho de administrao ou pelo comit de auditoria. Alm disso, leis e regulamentos solicitam cada vez mais que as organizaes estabeleam esses mecanismos. Em razo de sua importncia, o gerenciamento de riscos corporativos eficaz requer esse tipo de canal de comunicao. Sem esses canais e a disposio de ouvir, o fluxo ascendente de informaes poder bloquear-se.

importante que o pessoal entenda que no haver represlia para o relato de informaes relevantes. Uma mensagem clara transmitida pela simples existncia de mecanismos que incentivem os empregados a relatar suspeitas de violao de qualquer um dos cdigos de conduta da organizao e pelo tratamento que ser dado a quem apresentar a denncia. Um cdigo de conduta detalhado e pertinente, sesses de informao aos empregados, comunicaes corporativas contnuas e mecanismos de feedback com o exemplo correto dado mediante os atos da alta administrao podero reforar essas importantes mensagens. O canal entre a alta administrao e a diretoria executiva um dos mais crticos canais de comunicao. A administrao deve manter a diretoria executiva atualizada em relao ao desempenho, ao risco e ao funcionamento do gerenciamento de riscos corporativos e a outros eventos e questes importantes. Quanto melhor a comunicao, maior eficcia ter a diretoria no desempenho de sua funo de superviso - fazendo as vezes de um conselho sonoro para a administrao em relao a questes crticas, monitorando, dessa forma, as atividades e fornecendo orientao, assessoria e direo. Por outro lado, a diretoria dever informar as suas necessidades de comunicao administrao, fornecendo feedback e orientao.

Externas
Uma comunicao apropriada necessria, no somente dentro da organizao, como tambm fora dela. Por meio de canais de comunicao abertos, clientes e fornecedores podem fornecer informaes altamente significativas referentes ao design ou qualidade dos produtos ou servios, possibilitando, assim, a abordagem da organizao em relao evoluo das exigncias ou preferncias do cliente.

81

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Por exemplo, reclamaes ou indagaes de clientes ou fornecedores relacionadas a embarques, recebimentos, faturamento ou outras atividades, geralmente, indicam a existncia de problemas operacionais e, possivelmente, prticas fraudulentas ou outras indevidas. A administrao dever estar sempre pronta para reconhecer as implicaes dessas circunstncias, investigar e adotar as medidas corretivas necessrias, tendo em mente o impacto destas sobre os relatrios financeiros, de conformidade e objetivos operacionais. importante haver uma comunicao aberta sobre o apetite a riscos e as tolerncias a risco da organizao, especialmente para as organizaes associadas a outras em cadeias de suprimento ou empreendimentos de comrcio eletrnico. Nesses casos, a administrao leva em conta o modo pelo qual o seu apetite a riscos e a tolerncia a riscos esto alinhados com o dos parceiros comerciais, assegurando que a organizao no aceitar, por falta de controle, um excesso de riscos de seus parceiros. A comunicao com partes interessadas, agentes reguladores, analistas financeiros e outras partes externas, disponibiliza informaes pertinentes s respectivas necessidades, de maneira que possam entender prontamente as circunstncias e os riscos que a organizao enfrenta. Essa comunicao deve ser significativa, pertinente e oportuna, alm de atender s exigncias legais e regulatrias. O comprometimento da administrao em estabelecer e manter canais de comunicaes com partes externas independentemente de ser ou no aberta, disponvel e rigorosa quanto ao seu acompanhamento tambm envia uma mensagem para toda a organizao.

Meios de Comunicao
A comunicao pode surgir sob a forma de manuais de polticas, memorandos, mensagens de correio eletrnico, notificaes em quadros de avisos, mensagens pela Internet e mensagens gravadas em vdeo. Se as mensagens so transmitidas verbalmente em grandes grupos, pequenas reunies ou sesses individuais o tom de voz e a linguagem corporal enfatizam aquilo que est sendo transmitido. A forma pela qual a administrao trata o seu pessoal pode transmitir uma mensagem poderosa. Cabe aos gestores lembrar que os atos dizem mais do que as palavras. Seus atos, por sua vez, so influenciados pelo histrico e pela cultura da organizao, baseando-se em observaes anteriores de como os seus mentores enfrentaram situaes semelhantes. Uma organizao com um histrico de integridade nas operaes e uma cultura bem entendida pelas pessoas no encontrar muita dificuldade em passar a sua mensagem. Outra sem tradio ter de pr mais energia na forma em que as mensagens so comunicadas.

82

PricewaterhouseCoopers

Monitoramento

9. Monitoramento

Resumo do captulo: o gerenciamento de riscos corporativos monitorado, avaliando-se a presena e o funcionamento de seus componentes ao longo do tempo. Essa tarefa realizada mediante atividades contnuas de monitoramento, avaliaes independentes ou uma combinao de ambas. O monitoramento contnuo ocorre no decurso normal das atividades de administrao. O alcance e a freqncia das avaliaes independentes depender basicamente de uma avaliao dos riscos e da eficcia dos procedimentos contnuos de monitoramento. As deficincias no gerenciamento de riscos corporativos so relatadas aos superiores, sendo as questes mais graves relatadas ao Conselho de administrao e diretoria executiva.
O gerenciamento de riscos corporativos de uma organizao modifica-se com o passar do tempo. As respostas a risco que se mostravam eficazes anteriormente podem tornar-se incuas; as atividades de controle podem perder a eficcia ou deixar de ser executadas; ou os objetivos podem mudar. Essas modificaes podem ser causadas pela chegada de novos profissionais, pelas mudanas na estrutura ou no direcionamento da organizao ou, ainda, pela introduo de novos processos. Diante dessas mudanas, a administrao necessita determinar se o funcionamento do gerenciamento de riscos corporativos permanece eficaz. O monitoramento pode ser conduzido de duas maneiras: mediante atividades contnuas ou de avaliaes independentes. Geralmente, os mecanismos de administrao de riscos corporativos so estruturados para fazer o prprio monitoramento de forma contnua, no mnimo at um certo ponto. Quanto maior o alcance e a eficcia do monitoramento contnuo, menor a necessidade de avaliaes independentes. Fica a critrio da administrao definir a freqncia necessria de avaliaes independentes, de forma a ter garantia razovel da eficcia do gerenciamento de riscos corporativos. Ao fazer essa determinao, a administrao leva em conta a natureza e a extenso das mudanas que esto ocorrendo, os riscos associados, a competncia e a experincia do pessoal que implementa as respostas a risco e os controles pertinentes, alm dos resultados do monitoramento contnuo. Via de regra, uma combinao de monitoramento

83

Gerenciamento de Riscos Corporativos - Estrutura Integrada

contnuo e avaliaes independentes ser capaz de assegurar que o gerenciamento de riscos corporativos mantenha a sua eficcia com o passar do tempo. O monitoramento contnuo incorporado s atividades normais e repetitivas de uma organizao. Ele tambm conduzido em tempo real, responde dinamicamente a mudanas nas condies e est firmemente arraigado na organizao. Conseqentemente, ele mais eficaz do que as avaliaes independentes. Visto que as avaliaes independentes geralmente ocorrem aps a constatao de algum fato, os problemas sero identificados com maior rapidez por atividades contnuas de monitoramento. Ainda assim, muitas organizaes que possuem sistemas complexos de atividades de monitoramento contnuo realizam periodicamente avaliaes independentes do seu gerenciamento de riscos corporativos. A organizao que constata a necessidade de conduzir avaliaes independentes freqentemente dever concentrar-se em fortalecer as suas atividades de monitoramento contnuo.

Atividades de Monitoramento Contnuo


Muitas atividades prestam-se ao monitoramento da eficcia do gerenciamento de riscos corporativos no decurso normal da administrao dos negcios. As referidas atividades originam-se das atividades de gesto que podem incluir anlises de varincia, comparaes das informaes oriundas de fontes discrepantes e abordagem a ocorrncias imprevistas. Em geral, as atividades de monitoramento contnuo so conduzidas pelos gerentes de operao de linha ou de suporte funcional, que dedicam profunda considerao s implicaes das informaes que recebem. Ao concentrar-se nos relacionamentos, nas inconsistncias ou em outras implicaes relevantes, levantam questes, acompanhando outro pessoal, se necessrio, para determinar se existe necessidade de adotar medidas corretivas ou outras. As atividades de monitoramento contnuo so diferenciadas das atividades realizadas para o cumprimento da poltica nos processos do negcio. Por exemplo, as aprovaes de transaes, as reconciliaes de saldos de contas e a verificao da exatido das mudanas feitas nos arquivos mestres, executadas como etapas necessrias em sistemas de informao ou os processos de contabilidade so mais bem definidas como atividades de controle. O Anexo 9.1 apresenta exemplos de atividades de monitoramento contnuo.

84

PricewaterhouseCoopers

Monitoramento

Anexo 9.1
Os gerentes que analisam relatrios operacionais, que costumavam administrar operaes de forma contnua, podem identificar imprecises ou excees em resultados esperados. Por exemplo, os gerentes de vendas, compras e produo nos nveis de diviso, subsidiria e corporativo, e que mantm contato com as operaes, so capazes de questionar os relatrios que apresentem divergncias significativas em relao a seu conhecimento das operaes. Um relato oportuno e completo e a resoluo das referidas excees fortalecem a eficcia do processo. Mudanas nas informaes obtidas mediante modelos de valor em risco, utilizados para avaliar os efeitos dos movimentos em potenciais de mercado sobre a posio financeira de uma Companhia, esto relacionadas com as transaes financeiras relatadas, considerando os efeitos esperados. As comunicaes de partes externas comprovam as informaes geradas internamente ou indicam a existncia de problemas. Por exemplo, o cliente corrobora implicitamente os dados de faturamento ao pagar suas duplicatas. Por outro lado, reclamaes de clientes referentes ao faturamento podem indicar deficincias no processamento das transaes de venda. Da mesma forma, os relatrios de gestores de investimentos em relao a ganhos, perdas e rendimentos com valores mobilirios, podem comprovar ou apontar problemas com os registros da Companhia (ou do gestor). A reviso das polticas e prticas de segurana de uma seguradora fornece informaes sobre a segurana operacional e o desempenho no cumprimento de normas. Os agentes normativos comunicam-se com a administrao com relao a conformidade ou outras questes que se refletem no funcionamento do gerenciamento de riscos corporativos. Auditores externos e internos e assessores fornecem informaes peridicas, visando ao fortalecimento do gerenciamento de riscos corporativos. Os auditores podem dedicar ateno considervel a riscos fundamentais e respectivas respostas, bem como ao desenho das atividades de controle. Fraquezas em potencial so identificadas e as respectivas medidas alternativas so recomendadas administrao, acompanhadas de informaes teis na realizao de determinaes de custo-benefcio. Auditores internos ou pessoas que desempenham funes de reviso semelhantes podem ser particularmente eficazes no monitoramento das atividades de uma organizao. Seminrios de treinamento, sesses de planejamento e outras reunies fornecem administrao importante feedback que lhe permite determinar se o gerenciamento de riscos corporativos permanece eficaz. Alm dos problemas especficos que podem indicar condies de risco, a conscincia de risco e de controle dos participantes geralmente uma condio aparente. O gerente, no decurso normal da administrao dos negcios, discute com o seu pessoal a respeito de questes como o entendimento que o referido pessoal tem do cdigo de conduta da organizao, de maneira em que os riscos so identificados e as questes que surgem em relao operao das atividades de controle. Essas discusses servem para confirmar o funcionamento adequado dos elementos do gerenciamento de riscos corporativos ou assuntos emergentes que necessitam de ateno.

85

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Avaliaes Independentes
Embora os procedimentos de monitoramento contnuo geralmente forneam importante feedback sobre a eficcia de outros componentes do gerenciamento de riscos corporativos, pode ser de valia abordar a questo como se fosse a primeira vez, com o enfoque voltado diretamente eficcia do gerenciamento de riscos corporativos. Esse procedimento tambm oferece a oportunidade de considerar a eficcia dos procedimentos de monitoramento contnua.

Escopo e Freqncia
As avaliaes do gerenciamento de riscos corporativos podem variar em termos de escopo e freqncia, dependendo da significncia dos riscos e da importncia das respostas a risco e dos respectivos controles para a administrao dos riscos. As reas de riscos e as respostas a risco de alta prioridade tendem a ser avaliadas com mais freqncia. A avaliao da totalidade do gerenciamento de riscos corporativos que, geralmente, necessita ser realizada com menor freqncia do que a avaliao de partes especficas pode ser ocasionada por diversos motivos: mudana importante na estratgia ou na administrao, aquisies ou distribuies de recursos, mudanas nas condies econmicas ou polticas ou, ainda, mudanas nas operaes ou mtodos de processamento de informaes. Ao se tomar a deciso de empreender uma avaliao detalhada do gerenciamento de riscos de uma organizao, deve-se dedicar ateno especial abordagem de sua aplicao na definio da estratgia e em relao a atividades significativas. O alcance da avaliao tambm depender das categorias de objetivos estratgicos, operacionais, comunicao e conformidade que devem ser abordadas.

Quem Conduz a Avaliao


Freqentemente, as avaliaes tm a forma de auto-avaliaes nas quais as pessoas responsveis por uma determinada unidade ou funo determinam a eficcia do gerenciamento de riscos corporativos em relao s suas atividades. Por exemplo, o executivo principal de uma diviso dirige a avaliao de suas atividades de administrao de riscos corporativos. Esses responsveis avaliam pessoalmente as atividades de administrao de riscos associadas s opes estratgicas e aos objetivos de alto nvel, alm do componente de ambiente interno, e os indivduos responsveis pelas vrias atividades operacionais da diviso avaliam a eficcia dos componentes da administrao de riscos corporativos em relao s suas esferas de responsabilidade. Os gestores de linhas de negcio enfocam a operao e o cumprimento dos objetivos, e o controller da diviso concentra-se nos objetivos de comunicao. As avaliaes da diviso so ento consideradas pela alta administrao com as avaliaes de outras divises da Companhia. Os auditores internos geralmente avaliam como parte de seus deveres normais, ou mediante solicitao especfica do conselho de administrao, comit de auditoria, diretoria ou executivos de subsidirias ou divises. Do mesmo modo, a administrao poder utilizar informaes dos auditores externos ao considerar a eficcia do gerenciamento de riscos corporativos. Pode-se utilizar uma combinao de esforos na realizao de procedimentos de avaliao que a administrao julgue necessrios.

86

PricewaterhouseCoopers

Monitoramento

Processo de Avaliao
A avaliao da administrao de riscos corporativos um processo. Embora as abordagens ou as tcnicas possam variar, o processo dever conter uma disciplina com determinados conceitos bsicos. O avaliador dever entender cada uma das atividades da organizao e cada um dos componentes do gerenciamento de riscos corporativos que est sendo abordado. Pode ser til concentrar-se primeiramente no funcionamento expresso do gerenciamento de riscos corporativos s vezes chamada de desenho de sistema ou processo. O avaliador deve determinar o modo em que o sistema funciona. Os procedimentos destinados a operar de uma certa forma podem ser modificados com o tempo para operar de modo diferente ou podem no ser mais executados. s vezes, novos procedimentos so estabelecidos, mas no so conhecidos por aqueles que descreveram o processo e no esto includos na documentao existente. A determinao do funcionamento real pode ser realizada mediante discusses com o pessoal que executa, ou afetado pelo gerenciamento de riscos corporativos, mediante exame de registros sobre desempenho ou, ainda, uma combinao de procedimentos. O avaliador analisa o traado do processo de administrao de riscos corporativos e os resultados dos testes realizados. A anlise realizada novamente em comparao a padres estabelecidos pela administrao para cada um dos componentes, com a meta final de determinar se o processo oferece uma garantia razovel em relao aos objetivos enunciados.

Metodologia
Existe uma variedade de metodologias e ferramentas, inclusive listas de verificao, questionrios e tcnicas de fluxogramas. Como parte de sua metodologia de avaliao, algumas organizaes comparam ou desenvolvem um processo de comparao de indicadores de desempenho para o seu processo de administrao de riscos corporativos em relao aos de outras organizaes. Uma Companhia poder, por exemplo, comparar o seu gerenciamento de riscos corporativos em relao s Companhias que desfrutam de renome nessa rea. As comparaes podem ser feitas diretamente ou sob os auspcios de associaes de classe ou da indstria. Outras organizaes podem fornecer informaes comparativas, e as funes equivalentes de reviso permitindo que algumas indstrias avaliem o seu gerenciamento de riscos corporativos diante de seus pares. Porm, certa cautela necessria ao estabelecer comparaes, devendo ser considerada diferenas existentes nos objetivos, nos fatos e nas circunstncias. Alm disso, todos os oito componentes do gerenciamento de riscos corporativos devem ser considerados, bem como as limitaes inerentes a cada organizao.

Documentao
A quantidade de documentao do gerenciamento de riscos corporativos de uma organizao varia de acordo com o tamanho, a complexidade e os fatores semelhantes. As grandes organizaes geralmente possuem documentao escrita, como manuais de poltica, organogramas formais, descries de cargo, instrues de operao, fluxogramas de sistemas e assim por diante. As organizaes menores possuem uma documentao consideravelmente menor. Muitos aspectos do gerenciamento de riscos corporativos so informais e no esto documentados, apesar disso so executados com regularidade e altamente

87

Gerenciamento de Riscos Corporativos - Estrutura Integrada

eficazes. Essas atividades podem ser testadas da mesma forma que as atividades documentadas. O fato dos elementos do gerenciamento de riscos corporativos no estarem documentados no significa que no sejam eficazes ou no possam ser avaliados. Contudo, um nvel apropriado de documentao geralmente implica maior eficcia e eficincia s avaliaes. O avaliador poder decidir documentar o prprio processo de avaliao. Ele basear-se- na documentao existente do gerenciamento de riscos corporativos da organizao. Tipicamente, o processo ser suplementado por documentao adicional, com descries dos testes e das anlises conduzidas na avaliao. Se a administrao julgar conveniente fazer uma declarao s partes externas em relao eficcia do gerenciamento de riscos corporativos, esta dever considerar se desenvolve e retm a documentao de suporte s suas declaraes. Essa documentao poder ser til, caso a declarao seja questionada.

Relato de Deficincias
As deficincias no gerenciamento de riscos corporativos de uma organizao podem ter diversas origens, inclusive os procedimentos de monitoramento contnuo, avaliaes independentes e partes externas. Uma deficincia uma condio do gerenciamento de riscos de uma organizao que merece ateno e que pode representar uma desvantagem real, percebida ou em potencial, ou uma oportunidade de fortalecer o gerenciamento de riscos corporativos para aumentar a probabilidade dos objetivos serem alcanados.

Fontes de Informaes
Uma das melhores fontes de informao sobre deficincias no gerenciamento de riscos corporativos o prprio processo de gesto. As atividades de monitoramento contnuo de uma organizao, inclusive as atividades gerenciais e a superviso diria dos empregados, proporcionam idias com base nas pessoas que esto diretamente envolvidas nas atividades. Esses insights so adquiridos em tempo real e podem possibilitar uma rpida identificao das deficincias. Outras fontes de deficincias so as avaliaes independentes do processo de gerenciamento de riscos. As avaliaes realizadas pela administrao, pelos auditores internos ou por outras funes podem identificar reas com necessidade de melhoria. Freqentemente, as partes externas fornecem informaes importantes sobre a atuao do gerenciamento de riscos corporativos de uma organizao. Essas partes podem ser clientes, revendedores e outras pessoas que realizam transaes com a organizao, auditores externos e agentes reguladores. Os relatrios de fontes externas devem ser cuidadosamente considerados em decorrncia de suas implicaes para o gerenciamento de riscos corporativos, devendo, assim, adotar em seguida as medidas corretivas adequadas.

88

PricewaterhouseCoopers

Monitoramento

O Que Comunicado
O que deve ser relatado? Embora no exista uma resposta universal, certos parmetros podem ser estabelecidos. Todas as deficincias de administrao de riscos corporativos identificadas, capazes de afetar a capacidade da organizao de desenvolver e implementar a sua estratgia, bem como de fixar e alcanar os seus objetivos, devem ser relatadas para que sejam adotadas as medidas necessrias. A natureza das questes a serem comunicadas variar dependendo da autoridade que as pessoas tm de tratar das circunstncias que surgem e sob a superviso de seus superiores. Ao se considerar o que deve ser comunicado, necessrio observar as implicaes das falhas constatadas. essencial que no apenas uma determinada transao ou evento seja comunicado, como tambm os procedimentos potencialmente falhos envolvidos e passveis de reavaliao. Pode-se argumentar que nenhum problema to significativo a ponto de justificar uma investigao de suas implicaes. Um empregado que furta alguns dlares de um caixa para uso pessoal, por exemplo, no seria significativo em termos desse evento especfico, e tambm no o seria em termos de todo o valor transitado no caixa. Desse modo, no valeria a pena realizar uma investigao. Entretanto, essa aparente tolerncia em relao ao uso pessoal do dinheiro da organizao pode enviar mensagens indesejveis ao restante dos funcionrios. Alm das deficincias, as oportunidades identificadas para aumentar a probabilidade dos objetivos da organizao serem alcanados tambm devem ser comunicadas.

A Quem Comunicar
As informaes geradas no decorrer das atividades operacionais so geralmente comunicadas pelos canais normais aos superiores imediatos. Estes, por sua vez, podem estender a comunicao em direo ascendente ou lateral na organizao, de modo que as informaes acabem nas mos de pessoas que podem e devem atuar em relao a estas. Canais de comunicao alternativos tambm devem existir para o relato de informaes sensveis, como atos ilegais ou imprprios. As constataes de deficincias no gerenciamento de riscos corporativos comumente devem ser relatadas no apenas pessoa responsvel pela funo ou atividade em questo, como tambm pelo menos a um nvel de chefia acima dessa pessoa. Esse nvel de chefia superior fornece o necessrio suporte ou superviso para a adoo de medidas corretivas e ele orientado a comunicar-se com outras pessoas na organizao, cujas atividades podem ser afetadas. Caso o efeito da constatao estendase alm dos limites da organizao, o relatrio dever tambm fazer o mesmo e ser dirigido a um nvel suficientemente elevado para assegurar que medidas apropriadas sero tomadas.

89

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Diretivas de Informao
O fornecimento das informaes necessrias parte cabvel, dem relao s deficincias no gerenciamento de riscos corporativos, um fator crtico. Os protocolos devem ser estabelecidos para identificar quais informaes so necessrias em um dado nvel para um processo decisrio eficaz. Esses protocolos refletem na regra geral de que um gestor deve receber as informaes que afetam os atos ou o comportamento do pessoal sob a sua responsabilidade, bem como as informaes necessrias para a realizao de determinados objetivos. Normalmente, um presidente gostaria de ser notificado, por exemplo, com relao a graves infraes s polticas ou aos procedimentos. Essa pessoa tambm desejaria obter informaes de apoio sobre questes que possam trazer um impacto significativo ou implicaes estratgicas ou, at mesmo, que possam afetar a reputao da organizao. Um executivo snior deve ser notificado em relao ao gerenciamento de riscos e controlar as deficincias capazes de afetar a sua unidade. Os exemplos incluem circunstncias, nas quais bens de um valor monetrio especfico no esto adequadamente protegidos, falta de competncia dos empregados, ou quando reconciliaes financeiras importantes no so executadas adequadamente. Os gestores devem ser informados das deficincias em suas unidades em nveis cada vez mais detalhados medida que descemos ao longo da estrutura da organizao. Os supervisores definem os protocolos de comunicao para os subordinados. O grau de especificidade poder variar, geralmente aumentando nos nveis inferiores da organizao. Enquanto os protocolos de relatrios possam inibir a eficcia, caso sejam definidos com rigor excessivo, podero otimizar a comunicao, se houver flexibilidade suficiente. As partes para as quais as deficincias devem ser comunicadas, s vezes fornecem instrues especficas em relao aquilo que deve ser relatado. O Conselho de administrao, a diretoria executiva ou comit de auditoria, por exemplo, poder solicitar administrao ou aos auditores internos ou externos que comuniquem apenas as deficincias que atingirem um parmetro especfico de gravidade ou importncia.

90

PricewaterhouseCoopers

Funes e Responsabilidades

10. Funes e Responsabilidades

Resumo do captulo: todos os membros de uma organizao possuem alguma responsabilidade pelo gerenciamento de riscos corporativos. O presidente o responsvel principal e deve assumir a sua titularidade. Outros gerentes apiam a filosofia de administrao de riscos, promovem o cumprimento do apetite a riscos e administram os riscos dentro de suas esferas de responsabilidade e adequada as tolerncias a riscos. As demais pessoas so responsveis pelo gerenciamento de riscos corporativos, segundo polticas e protocolos estabelecidos. A diretoria executiva fornece uma importante superviso administrao de riscos corporativos. Inmeras partes externas geralmente fornecem informaes teis para a conduo do gerenciamento de riscos corporativos, porm no respondem pela sua eficcia.
O gerenciamento de riscos corporativos realizado por inmeros agentes, cada uma deles com importantes responsabilidades. A diretoria executiva (diretamente ou por meio de seus comits), a administrao, os auditores internos e as outras equipes internas prestam contribuies importantes administrao de riscos. Outros agentes como auditores externos e rgos reguladores, muitas vezes, esto diretamente associados s avaliaes de risco e aos controles internos. Entretanto existe uma diferena entre os que fazem parte do processo de administrao dos riscos corporativos, e os que no fazem parte, porm cujas aes podem afetar o processo ou ajudar a organizao a alcanar os seus objetivos. O fato de um agente externo contribuir direta ou indiretamente para que uma organizao alcance os seus objetivos no o torna parte, nem responsvel pelo gerenciamento de riscos corporativos da organizao.

91

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Pessoal da Organizao
A diretoria executiva, a administrao, os executivos de riscos, os executivos de finanas, os auditores internos e, na verdade, qualquer indivduo dentro de uma organizao pode contribuir para a gesto mais eficaz dos riscos corporativos.

Conselho de Administrao
A administrao reporta diretoria executiva ou ao conselho de administrao, o qual fornece superviso, liderana e direcionamento. Ao escolher a diretoria executiva, o conselho de administrao tem uma importante funo ao definir aquilo que espera em termos de integridade, valores ticos e, mediante suas atividades de superviso, poder determinar se as expectativas esto sendo ou no atendidas. Da mesma forma, ao reservar sua autoridade a certas decises fundamentais, o conselho de administrao desempenha uma funo de fixao de estratgias, formulao de objetivos de alto nvel e alocao de recursos de modo mais amplo. O conselho de administrao supervisiona o gerenciamento de riscos corporativos da organizao ao: saber at que ponto a administrao estabeleceu um gerenciamento de riscos corporativos eficaz; estar ciente e de acordo com o apetite a riscos; revisar a viso de portflio dos riscos assumidos em contraste com o apetite a riscos; ser notificada em relao aos riscos mais significativos e saber se a administrao est respondendo adequadamente. O conselho de administrao faz parte do componente ambiente interno e deve ter a composio e o enfoque necessrios para que o gerenciamento de riscos corporativos possa ser eficaz. Os membros do conselho de administrao efetivos devem ser objetivos, capazes e inquisitivos. Devem possuir um conhecimento prtico das atividades da organizao e de seu ambiente, bem como dedicar o tempo necessrio para cumprir suas responsabilidades de conselheiro. Despendem recursos quando necessrio para realizar investigaes especiais e ter uma comunicao aberta e irrestrita com os auditores internos e externos, bem como com os assessores jurdicos. O conselho de administrao poder utilizar comits para cumprir determinadas obrigaes. A utilizao e o enfoque dos comits podem variar de uma organizao para outra, embora os mais comuns sejam de nomeao/governana corporativa, remunerao e auditoria, cada qual com o seu enfoque nos elementos de administrao de riscos da organizao. O comit de nomeao, por exemplo, identifica e analisa as qualificaes de possveis membros do conselho; o comit de remunerao analisa a adequao dos sistemas de recompensa, equilibrando programas motivacionais saudveis com a necessidade de evitar desnecessrias tentaes de manipular os indicadores adotados na definio da remunerao. O comit de auditoria tem a responsabilidade direta sobre a confiabilidade das comunicaes externas e deve reconhecer os riscos relativos a uma comunicao confivel dos relatrios financeiros. Assim sendo, o conselho de administrao e os seus comits fazem parte importante do gerenciamento de riscos corporativos.

92

PricewaterhouseCoopers

Funes e Responsabilidades

A Diretoria executiva
A diretoria executiva diretamente responsvel por todas as atividades de uma organizao, inclusive do gerenciamento de riscos corporativos. Naturalmente, os diretores em seus diferentes nveis tero diferentes responsabilidades no gerenciamento de riscos corporativos. Essas responsabilidades podem variar consideravelmente, dependendo das caractersticas da organizao. Em qualquer organizao, o presidente o depositrio final da responsabilidade de gesto de riscos. Um dos aspectos mais importantes dessa responsabilidade assegurar a presena de um ambiente interno positivo. Mais do que qualquer outro indivduo ou funo, o presidente estabelece o tom na cpula que influencia os fatores ambientais internos e outros componentes do gerenciamento de riscos corporativos. O presidente tambm pode ter influncia sobre o conselho de administrao ao direcionar a identificao de novos membros para o prprio conselho, dando o exemplo para atrair ou repelir os possveis candidatos. Com freqncia cada vez maior, os candidatos ao conselho observam atentamente a integridade e os valores da diretoria executiva para determinar se aceitam ou no uma indicao. Os diretores em potencial tambm concentram-se no gerenciamento de riscos corporativos da organizao para verificar se esta possui o embasamento crtico de integridade e valores ticos para permitir a sua eficcia. As responsabilidades do presidente incluem certificar-se que todos os componentes do gerenciamento de riscos corporativos estejam implementados. O presidente geralmente cumpre com as suas atribuies: Fornecendo liderana e direcionamento diretoria executiva. Em conjunto com eles, o presidente forma os valores, os princpios e as principais polticas operacionais que constituem o alicerce da gesto de riscos corporativos na organizao. O presidente e a diretoria executiva definem os objetivos estratgicos, a estratgia e os objetivos associados de alto nvel. E, estabelecem tambm, polticas de carter mais amplo e desenvolvem a filosofia de gesto de riscos, apetite a riscos e a cultura da organizao. Adotam medidas em relao estrutura organizacional, ao contedo e comunicao de polticas fundamentais da organizao, bem como do tipo de sistemas de planejamento e de comunicao que ser utilizada. Reunindo-se periodicamente com os diretores responsveis pelas principais reas funcionais vendas, marketing, produo, obteno, finanas, recursos humanos para revisar suas responsabilidades, inclusive a forma em que administram riscos. O presidente adquire conhecimento dos riscos inerentes s operaes, s respostas a riscos e s melhorias de controle necessrias, bem como condio das iniciativas em andamento. Para desincumbirse dessas responsabilidades, o presidente dever definir claramente as informaes de que necessita. Com esses conhecimentos, o presidente estar em condies de monitorar as atividades e os riscos em relao ao apetite a riscos da organizao. No caso de alterao das circunstncias, surgimento de riscos, implementao de estratgias ou aes antecipadas indicam desalinhamento potencial em relao ao apetite a riscos da organizao, o presidente adotar as medidas necessrias para restabelecer o alinhamento, ou, ainda, discutir com o conselho de administrao as medidas a serem adotadas, ou ainda, se o apetite a riscos da organizao deve ser ajustado. Os diretores encarregados das unidades organizacionais so responsveis pela administrao dos riscos relativos aos objetivos de suas unidades. Essas pessoas transformam estratgias em operaes, identificam eventos, avaliam riscos e adotam respostas a riscos. Alm

93

Gerenciamento de Riscos Corporativos - Estrutura Integrada

disso, orientam a aplicao dos componentes do gerenciamento de riscos corporativos em suas esferas de responsabilidade, certificandose de que a sua aplicao esteja consistente com as tolerncias a riscos. Nesse sentido, a responsabilidade flui em cascata, na qual cada executivo torna-se efetivamente um presidente de sua esfera de responsabilidade. A diretoria executiva geralmente atribui a responsabilidade pelos procedimentos especficos de gesto de riscos corporativos aos gerentes de processos, funes ou departamentos. Dessa maneira, esses gerentes desempenham um papel mais prtico no planejamento e na execuo de determinados procedimentos de gesto de riscos relacionados aos objetivos da unidade, como tcnicas para a identificao de eventos e avaliao de riscos, bem como na determinao de respostas aos riscos, como o desenvolvimento de protocolos para a compra de matrias-primas ou a aprovao de novos clientes. Eles tambm fazem recomendaes referentes a atividades de controle relacionadas, monitoram sua aplicao e renem-se com os diretores para relatar o funcionamento das atividades de controle. Os procedimentos acima envolvem o levantamento de eventos ou as condies externas, os erros na entrada de dados, ou nas transaes que aparecem nos relatrios de exceo, analisando os motivos das variaes no oramento das despesas departamentais e acompanhando, desses modo, os pedidos pendentes ou as posies de estoque de produtos. As questes significativas, sejam elas relativas a uma determinada transao ou indicao de uma maior preocupao, devem ser comunicadas aos superiores na organizao. As funes de suporte, como recursos humanos, conformidade ou jurdico, tambm apresentam importantes funes de apoio no desenho ou na constituio de componentes eficazes de gesto de riscos corporativos. Os recursos humanos podero formular e ajudar a implementar programas de

treinamento no cdigo de conduta da organizao e em outras questes polticas mais amplas, geralmente introduzidas com a liderana da unidade de negcios. A funo jurdica disponibiliza informaes aos gerentes de linha de negcio relacionados a novas leis e regulamentos que afetam as polticas operacionais, e/ou junto com os executivos de compliance fornecem informaes crticas se as transaes ou os protocolos planejados esto em conformidade com requisitos legais e ticos. As responsabilidades dos diretores devem contemplar autoridade e responsabilidade por aes tomadas (prestao de contas). Cada diretor ser cobrado pelo nvel hierrquico imediatamente superior, quanto a parte do gerenciamento de riscos corporativos que lhe cabe, ficando com o presidente a responsabilidade final perante o conselho de administrao. Embora diferentes nveis hierrquicos possuam diferentes responsabilidades e funes na gesto de riscos, as suas aes devero compor-se na gesto de riscos corporativos de toda a organizao.

Responsvel pela Gesto de Riscos


Algumas organizaes adotam coordenao centralizada para facilitar o gerenciamento de riscos corporativos. O responsvel pela gesto de riscos em algumas organizaes denominado executivo chefe de riscos ou gerente de riscos trabalha com outros gerentes para estabelecer um processo de gesto de riscos eficaz em suas reas de responsabilidade. Tendo sido nomeado pelo presidente e sob os seus auspcios diretos, o funcionrio responsvel por riscos possui os recursos com o intuito de ajudar a gesto efetiva dos riscos corporativos nas subsidirias, unidades de negcios, departamentos, funes e atividades. O profissional responsvel por riscos tem a incumbncia de monitorar o progresso e ajudar os demais gerentes a comunicar as

94

PricewaterhouseCoopers

Funes e Responsabilidades

informaes relevantes sobre riscos a seus superiores, subordinados e pares na organizao. O empregado responsvel por riscos tambm poder servir de canal de comunicao complementar. Algumas organizaes atribuem essa funo a outro funcionrio graduado, como o diretor executivo financeiro, assessor jurdico, diretor de auditoria interna ou de compliance; outras organizaes constataram que a magnitude e o alcance dessa funo requerem atribuio e recursos independentes. Companhias constataram que essa funo muito bem-sucedida quando estabelecida, claramente, sua responsabilidade com funo de suporte apoiando e facilitando as gerncias de linha de negcio. Para que o gerenciamento de riscos corporativos tenha eficcia, os gerentes de linha devem assumir responsabilidade primria e responder pelo gerenciamento de riscos em suas respectivas reas. Entre as responsabilidades de um funcionrio responsvel por riscos esto: estabelecer as polticas de administrao de riscos, inclusive definir funes e responsabilidades, e participar da fixao de metas para implementao; constituir autoridade e responsabilidade pelo gerenciamento de riscos corporativos nas unidades de negcios; promover a competncia em gerenciamento de riscos corporativos pela Companhia, bem como facilitar o desenvolvimento de conhecimentos especializados tcnicos de gesto de riscos e ajudar os gerentes a alinhar as respostas com as tolerncias a risco, alm de desenvolver os controles adequados; orientar a integrao do gerenciamento de riscos corporativos com outras atividades de planejamento e administrao de negcios;

estabelecer uma linguagem comum de gesto de riscos que inclua medidas comuns para probabilidade, impacto e categorias de riscos; facilitar o desenvolvimento de protocolos de comunicao pela administrao, inclusive limites quantitativos e qualitativos, bem como monitoramento do processo de comunicao; comunicar ao presidente o andamento, as situaes excepcionais e as recomendao de aes, quando necessrio.

Executivos Financeiros
Os executivos de finanas e de controle e suas equipes possuem significado particularmente importante nas atividades de gerenciamento de riscos corporativos, pois suas aes atingem de forma ascendente e descendente todas as unidades operacionais e de negcios. Esses executivos financeiros geralmente envolvemse no desenvolvimento de planos e oramentos para toda a organizao, alm de realizar o acompanhamento e a anlise de desempenho, a partir de uma perspectiva da operao, informao e compliance. Freqentemente, essas atividades fazem parte de uma viso central ou corporativa, mas, comumente, tambm apresenta alada de aprovao na superviso das atividades da diviso, subsidiria ou de outras unidades. Desse modo, os executivos financeiro, contbil, controller e outros agentes da rea financeira so essenciais ao modo como a administrao exerce o gerenciamento de riscos corporativos. Esses executivos desempenham um papel importante na preveno e na identificao de informao fraudulenta, e, na qualidade de membro da alta administrao, o executivo financeiro contribui para estabelecer o tom da conduta tica da organizao; a implementao e o monitoramento dos sistemas de comunicao tem sobre si importante responsabilidade pelas demonstraes financeiras e influencia seu desenho.

95

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Examinando-se os componentes do gerenciamento de riscos corporativos torna-se evidente que o executivo financeiro e seu pessoal desempenham papis essenciais. Esse diretor fundamental no estabelecimento de objetivos, na formulao das estratgias, na anlise de riscos e na tomada de decises sobre como as mudanas capazes de afetar a organizao sero administradas. Fornece informaes valiosas e direcionamento, sendo posicionada para concentrar-se na superviso e no acompanhamento das medidas adotadas. Desse modo, o executivo financeiro deve sentarse mesa como um par dos demais diretores. Qualquer tentativa da administrao de limitar o seu campo de ao s principais reas, por exemplo, de informaes financeiras e tesouraria, poder limitar seriamente a capacidade de crescimento da organizao.

As normas do Institute of Internal Auditors tambm tratam das funes consideradas apropriadas auditoria interna, deixando claro que os auditores internos devem ser objetivos em relao s atividades que auditam. Essa objetividade deve refletir em sua posio e sua autoridade dentro da organizao e nas atribuies de seu pessoal. A posio e a autoridade organizacional envolvem questes como um canal de comunicao com um indivduo que possui autoridade suficiente para assegurar cobertura, considerao e resposta adequada de auditoria; acesso ao conselho de administrao ou ao comit de auditoria; e autoridade para o seguimento e o acompanhamento de constataes e recomendaes. A seleo e a demisso do executivo-chefe de auditoria somente podero ser efetuadas com a anuncia do conselho de administrao ou do comit de auditoria.

Auditores Internos
Os auditores internos desempenham uma funo essencial ao avaliar a eficcia do gerenciamento de riscos corporativos e ao recomendar melhorias. As normas estabelecidas pelo Institute of Internal Auditors no Brasil: estipulam que o alcance da auditoria interna deve incluir o gerenciamento de riscos e os sistemas de controle. Essa tarefa compreende a avaliao da confiabilidade das informaes, a eficcia e a eficincia das operaes e o cumprimento de leis e normas aplicveis. Ao incumbir-se de suas responsabilidades, os auditores internos assistem a administrao e o conselho de administrao ou o comit de auditoria no exame, na avaliao, na comunicao e na recomendao de melhorias para uma maior adequao e eficcia do gerenciamento de riscos corporativos da organizao.

Demais funcionrios da Organizao


At certo ponto, o gerenciamento de riscos corporativos responsabilidade de todos aqueles que trabalham em uma organizao, devendo, portanto, fazer parte explcita ou implcita da descrio do cargo. Essa suposio verdadeira com base em duas perspectivas: Praticamente todo o pessoal desempenha alguma funo na conduo do gerenciamento de riscos. Esse pessoal poder gerar informaes para utilizar na identificao ou avaliao de riscos, ou adoo de outras medidas necessrias realizao do gerenciamento de riscos corporativos. O cuidado com o qual essas atividades so desempenhadas afeta diretamente a eficcia da gesto de riscos na organizao.

96

PricewaterhouseCoopers

Funes e Responsabilidades

Todas as pessoas so responsveis pelo apoio aos fluxos de informaes e comunicaes inerentes ao gerenciamento de riscos corporativos. Essa responsabilidade inclui a comunicao a um nvel organizacional mais elevado, de quaisquer problemas nas operaes, no descumprimento do cdigo de conduta, ou em outras infraes s polticas ou em atos ilegais. A gesto de riscos corporativos depende de controles, inclusive da segregao de funes, e que o pessoal no faa vista grossa. Os funcionrios necessitam entender que preciso resistir presses dos superiores para participar de atividades ilegtimas, devendo existir outros canais alm das linhas regulares de comunicao que possibilitem a denncia dessas circunstncias. O gerenciamento de riscos corporativos do interesse de todos, devendo as funes e as responsabilidades de todo o pessoal ser nitidamente definidas e comunicadas com eficcia.

Terceiros
Inmeros terceiros podem contribuir para a realizao dos objetivos de uma organizao, s vezes mediante aes paralelas s adotadas pela prpria organizao. Em outros casos, as partes externas podem fornecer informaes teis organizao em suas atividades de gerenciamento de riscos corporativos.

Auditores Externos
Os auditores externos possibilitam administrao e ao conselho de administrao uma viso singular, independente e objetiva, que pode contribuir para que a organizao realize os seus objetivos de comunicao externa de informaes financeiras, bem como outras metas. Em uma auditoria de demonstraes financeiras, o auditor expressa a sua opinio referente fidedignidade das demonstraes financeiras em conformidade com princpios contbeis geralmente aceitos, contribuindo, assim, para o cumprimento dos objetivos de comunicao de informaes financeiras da organizao. O auditor que conduz uma auditoria nas demonstraes financeiras pode contribuir para a realizao desses objetivos ao fornecer informaes teis para que a administrao cumpra com as suas responsabilidades relativas gesto de riscos. Essas informaes incluem: constataes de auditoria, informaes analticas e recomendaes das medidas necessrias ao atendimento dos objetivos estabelecidos; as constataes de deficincias na administrao e os controles de riscos que atraem a ateno do auditor, bem como as recomendaes de melhoria. Freqentemente, essas informaes no estaro apenas relacionadas com as atividades de comunicao, como tambm a atividades estratgicas, operacionais e de compliance, que podero trazer importantes contribuies para a realizao dos objetivos da organizao em cada uma dessas reas. As informaes so relatadas administrao e, dependendo de sua importncia, ao conselho de administrao ou ao comit de auditoria. importante reconhecer que uma auditoria de demonstraes financeiras, por si s, geralmente no se concentra apenas no gerenciamento de riscos corporativos e, de qualquer modo, no gerar uma opinio do auditor relacionadas gesto de riscos da organizao. Contudo, se for exigido por

97

Gerenciamento de Riscos Corporativos - Estrutura Integrada

lei que o auditor avalie as declaraes de uma organizao, relacionadas com o controle interno das demonstraes financeiras e as informaes em que se fundamentam essas declaraes, o alcance do trabalho dirigido a essas reas ser extensivo para que todas as informaes adicionais e as evidncias possam ser obtidas.

Legisladores e rgos Reguladores


Legisladores e rgos reguladores afetam o gerenciamento de riscos corporativos de muitas organizaes mediante requisitos sobre o estabelecimento de mecanismos de gesto de riscos ou controles internos, ou por meio de inspees por determinadas entidades. Muitas das leis e regulamentos relevantes tratam basicamente dos riscos e controles de informaes financeiras. Porm, algumas delas especialmente aquelas que se aplicam aos rgos do governo tambm podem tratar de objetivos operacionais e de compliance. Muitas organizaes esto sujeitas, h muito tempo, a requisitos legais de controle interno. Por exemplo, as Companhias abertas dos Estados Unidos so obrigadas a estabelecer e manter sistemas de controle da contabilidade interna que atendam aos objetivos especficos. A legislao mais recente exige que a diretoria executiva de Companhias abertas (com aes transacionadas em bolsa) certifique a eficcia do controle interno da Companhia sobre os informes financeiros com as declaraes de auditores. Vrios rgos reguladores fiscalizam diretamente as organizaes sobre as quais possuem responsabilidades de superviso. Por exemplo, inspetores de bancos centrais conduzem o exame de bancos e, comumente, concentramse nos aspectos do gerenciamento de riscos do banco e nos seus sistemas internos de controle. Esses rgos fazem recomendaes e adotam procedimentos para cumprir a lei.

Portanto, os legisladores e os rgos reguladores afetam o gerenciamento de riscos corporativos de duas formas. Primeiramente, ao estabelecer normas que fornecem o estmulo para que a administrao assegure que a gesto de riscos e os sistemas de controle atendam aos requisitos mnimos legais e estatutrios. Posteriormente, aps as inspees em uma determinada organizao, eles fornecero informaes teis para a organizao sobre a aplicao de gerenciamento de riscos corporativos e as correspondentes recomendaes, e, s vezes, as diretrizes para a administrao em relao s melhorias necessrias.

Agentes que Interagem com a Organizao


Clientes, revendedores, parceiros comerciais e outros que mantm negcios com uma organizao representam importante fonte de informaes que podem ser utilizadas nas atividades de gesto dos riscos corporativos. As informaes podem ser as mais variadas possveis, ou seja, informaes referentes demanda emergente para um novo produto ou servio, discrepncias de embarque ou faturamento, s questes de qualidade, ou aos atos praticados por empregados que ultrapassam os limites da integridade e da tica. Essas informaes podem ser extremamente importantes para que a organizao atinja os seus objetivos estratgicos, operacionais, de comunicao e compliance. A organizao dever possuir mecanismos implementados para o recebimento dessas informaes e a adoo das medidas adequadas. As medidas necessrias no se limitam apenas ao tratamento da situao especfica relatada, mas tambm investigao da causa subjacente do problema e sua correo. Alm dos clientes e dos vendedores, outras partes, como credores, podem supervisionar a realizao dos objetivos da organizao. Um banco, por exemplo, poder solicitar relatrios de conformidade da contra-parte, como clusula em determinados

98

PricewaterhouseCoopers

Funes e Responsabilidades

contratos de financiamento. Esse banco tambm poder recomendar indicadores de desempenho ou outras metas ou controles desejados.

Fornecedores de Servios Terceirizados


Muitas organizaes terceirizam funes comerciais, delegando a sua administrao do dia-a-dia a fornecedores externos. Operaes administrativas, financeiras e internas so, s vezes, terceirizadas com a finalidade de obter acesso a melhor capacitao e menor custo de servios. Uma instituio financeira poder terceirizar o seu processo de reviso de emprstimos; uma empresa de tecnologia poder terceirizar a operao e a manuteno de seu processamento de dados; e uma Companhia varejista poder terceirizar a sua funo de auditoria interna. Embora esses terceiros executem atividades pela organizao e em seu nome, a administrao no poder abdicar da responsabilidade de gerenciar os riscos associados, devendo, dessa forma, implementar um programa para monitorar essas atividades.

Analistas Financeiros, Agncias de Rating, Mdia Jornalstica


Os analistas financeiros e as agncias de classificao de risco consideram muitos fatores pertinentes para julgar a oportunidade de investimento em uma organizao. Eles analisam a estratgia e os objetivos da administrao, as demonstraes financeiras histricas e as informaes financeiras prospectivas, as medidas adotadas em resposta s condies da economia e do mercado, o potencial de sucesso a curto e longo prazos, o desempenho da indstria e as comparaes seus pares. A mdia impressa e a de difuso, especialmente reprteres financeiros, tambm podem empreender anlises semelhantes. As atividades de investigao e de monitoramento desses agentes podem fornecer insights referentes forma em que outros percebem o desempenho da organizao, a indstria e os riscos econmicos que esta enfrenta, as estratgias inovadoras operacionais ou financeiras que podem melhorar seu desempenho, bem como as tendncias da indstria. Essas informaes so obtidas em reunies entre as partes, ou indiretamente mediante anlises para os atuais investidores, os em potencial e o pblico. De qualquer modo, a administrao deve considerar as observaes e os insights de analistas financeiros, as agncias de rating e a mdia jornalstica, que podero aprimorar o processo de gesto de riscos corporativos.

99

Limitaes da Gesto de Riscos Corporativos

11. Limitaes da Gesto de Riscos Corporativos


Resumo do captulo: o efetivo gerenciamento de riscos corporativos, no importa o quanto seja bem projetado e operado, apenas proporcionar uma segurana razovel, administrao e ao conselho de administrao, quanto ao cumprimento dos objetivos de uma organizao. A realizao dos objetivos afetada por limitaes inerentes a todos os processos administrativos. Essas limitaes incluem o fato que o julgamento humano no processo decisrio pode falhar, e que os colapsos podem ocorrer em decorrncia dessas falhas humanas, como erros ou equvocos simples. Alm disso, os controles podem ser neutralizados por conluio de dois ou mais indivduos, e a administrao dispe da capacidade de desabilitar o processo de gesto de riscos corporativos, inclusive decises de resposta a risco e atividades de controle. Outro fator limitante a necessidade de considerar os custos e os benefcios associados s respostas a riscos.
Para alguns observadores, o gerenciamento de riscos corporativos, como controles internos implantados, assegura que a organizao no fracassar isto , ela sempre atingir seus objetivos. Essa opinio falaciosa. Considerando as limitaes do gerenciamento de riscos corporativos, trs conceitos distintos devem ser reconhecidos: Primeiro, o risco est relacionado ao futuro, o qual intrinsecamente incerto. Segundo, o gerenciamento de riscos corporativos mesmo que eficaz opera em diferentes nveis com relao a diferentes objetivos. No caso de objetivos estratgicos e operacionais, o gerenciamento de riscos corporativos pode contribuir para assegurar que a administrao e o conselho de administrao em seu papel de superviso esto oportunamente cientes apenas da evoluo da organizao no cumprimento desses objetivos. Mas no so capazes de fornecer nem uma garantia razovel de que as prprias metas sero atingidas. Terceiro, o gerenciamento de riscos corporativos no capaz de oferecer uma garantia absoluta em relao a qualquer uma das categorias de objetivos. A primeira limitao reconhece o fato de que ningum capaz de prever o futuro com absoluta certeza. O segundo, reconhece que determinados eventos esto simplesmente alm do controle da administrao. O terceiro relaciona-se ao fato de que nenhum processo nunca executar exatamente o que foi previsto.

101

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Colapsos
A garantia razovel no implica que o gerenciamento de riscos corporativos fracassar com freqncia. Muitos fatores, isolados ou em conjunto, reforam o conceito da segurana razovel. O efeito cumulativo das respostas a risco que atendem a diversos objetivos e a natureza de mltiplas finalidades dos controles internos, reduzem o risco de uma organizao deixar de atingir os seus objetivos. Alm do mais, as atividades operacionais normais do diaa-dia e as responsabilidades das pessoas que atuam nos diversos nveis de uma organizao esto direcionadas realizao dos objetivos. Sem dvida, entre os perfis de organizaes eficazmente controladas, provvel que a maioria delas seja regularmente notificada de seu avano no cumprimento de seus objetivos estratgicos e operacionais, bem como atinja regularmente os seus objetivos de compliance e produza consistentemente perodo aps perodo, ano aps ano informaes confiveis. Contudo, poder ocorrer um evento incontrolvel, uma falha ou um incidente de comunicao inadequada. Em outras palavras, at mesmo um gerenciamento de riscos corporativos eficaz pode experimentar um fracasso. Garantia razovel no garantia absoluta. At um gerenciamento de riscos corporativos eficaz est sujeito a um colapso. possvel que os empregados no entendam as instrues adequadamente e cometam erros de julgamento ou em decorrncia de falta de ateno, distrao ou cansao. O supervisor do departamento de contabilidade, responsvel pela investigao de excees, pode simplesmente se esquecer de fazer o acompanhamento ou abandonar a investigao antes que possa efetuar as correes adequadas. Empregados temporrios, que executam as tarefas de controles para empregados ausentes por motivo de frias ou doena, podem no faz-las corretamente. Mudanas de sistema podem ser implementadas antes do pessoal ter sido treinado para responder adequadamente aos sintomas de funcionamento incorreto.

Conluio
Atividades de conluio de duas ou mais pessoas podem levar o gerenciamento de riscos corporativos ao fracasso. Indivduos que atuam em conjunto para perpetrar e ocultar um ato, a fim de que no seja detectado, geralmente so capazes de alterar dados financeiros ou outras informaes administrativas de tal forma que essas modificaes no so identificadas pelo processo de gesto dos riscos corporativos. Por exemplo, um empregado que desempenha uma importante funo de controle poder agir em conluio com um cliente, fornecedor ou outro empregado. Em um nvel diferente, vrias camadas da gerncia de vendas ou de diviso podem agir em conluio para neutralizar os controles e fazer que os resultados informados atendam a oramentos ou cumpram metas de incentivo.

Julgamento
A eficcia do gerenciamento de riscos corporativos sofre limitaes das realidades da fraqueza humana durante tomada de decises de negcios. As decises devem ser tomadas por meio de julgamento humano, no tempo disponvel, com base nas informaes disponveis e sob as presses de se conduzir um negcio. Com a clarividncia obtida da anlise retrospectiva, pode-se constatar posteriormente que algumas decises deixaram a desejar em termos de resultados desejveis, e necessitam ser mudadas.

102

PricewaterhouseCoopers

Limitaes da Gesto de Riscos Corporativos

Custo-benefcio
Como j discutimos no captulo Avaliao de Risco, em decorrncia das sempre existentes limitaes de recursos, as organizaes devem considerar os custos e os benefcios relativos das decises, inclusive os relacionados resposta aos riscos e s atividades de controle. Ao se determinar se uma certa ao deve ser conduzida ou se um controle deve ser estabelecido, o risco de falha e o efeito em potencial sobre a organizao so considerados com os custos pertinentes. Por exemplo, pode no valer a pena uma Companhia instalar controles sofisticados de estoques para monitorar nveis de matriasprimas, quando a sua representatividade no custo do processo de produo for reduzida, se a matria-prima no for perecvel, se existirem fontes disponveis para fornecimento imediato e se o espao de armazenamento estiver disponvel. Os custos e os benefcios da implementao de funcionalidades de identificao de eventos, avaliao de riscos, atividades pertinentes de resposta e controle so mensurados com diferentes nveis de preciso, que variam freqentemente dependendo da natureza da organizao. A questo encontrar um ponto de equilbrio. Da mesma forma que recursos, por serem limitados, no devem ser alocados a riscos no significativos, o controle excessivo dispendioso e contraproducente. O cliente que faz um pedido por telefone no se submeter a procedimentos de aprovao de pedido demasiado incmodos ou prolongados. Um banco no far emprstimos se impuser condies em demasia a potenciais tomadores com bons antecedentes de crdito. Por outro lado, a falta de controle acarreta riscos desnecessrios de inadimplncia. necessrio um equilbrio adequado em um ambiente altamente competitivo, e, apesar do despeito das dificuldades, as decises de custo-benefcio continuaro a ser feitas.

Neutralizao pela Direo


O gerenciamento de riscos corporativos ser to eficaz quanto as pessoas que respondem pelo seu funcionamento. Um diretor ainda pode neutralizar o gerenciamento de riscos mesmo nas organizaes dotadas de gerenciamento de riscos corporativos eficaz aquelas que desfrutam de elevados nveis de integridade e de conscincia de riscos e controle, canais de comunicao alternativos e uma diretoria ativa e bem informada, que dispe de um processo adequado de administrao. No existe sistema de controle ou de gesto infalvel, e, por isso pessoas com intenes criminosas tentaro paralisar os sistemas. Todavia, um gerenciamento de riscos corporativos eficaz melhorar a capacidade da organizao de prevenir e detectar atividades de neutralizao. A frase neutralizao pela direo utilizada aqui com o significado de neutralizar polticas ou procedimentos recomendados para fins ilegtimos como vantagens pessoais ou apresentao realada das condies financeiras de uma organizao ou de sua situao de compliance. O gerente de uma diviso ou unidade, ou um membro da diretoria executiva, poder neutralizar o gerenciamento de riscos corporativos por inmeros motivos: para aumentar a receita informada, a fim de cobrir uma reduo inesperada na participao de mercado; para aumentar o valor das receitas informadas com o propsito de atender a oramentos no realistas; aumentar o valor de mercado da Companhia antes de uma oferta pblica de aes ou venda; para atender a projees de vendas ou de receitas e justificar o pagamento de bonificaes vinculadas ao desempenho ou ao valor de opes de compra de aes; ocultar violaes de clusulas em contratos de financiamento; ou ocultar o descumprimento de exigncias legais. As prticas de neutralizao incluem falsas declaraes a banqueiros, advogados, auditores e vendedores, e emisso intencional de documentos falsos, como pedidos de compra e faturas de vendas.

103

Gerenciamento de Riscos Corporativos - Estrutura Integrada

A frase neutralizao pela direo no deve ser confundida com interveno da direo, que representa as medidas adotadas pela direo executiva para desviar-se, por motivos legtimos, de polticas ou procedimentos preestabelecidos. A interveno da administrao necessria para se lidar com transaes ou eventos no recorrentes e incomuns que, de outra forma, poderiam ser tratados inadequadamente. Os mecanismos de interveno da alta administrao so necessrios porque nenhum processo pode ser formulado com o intuito de se antecipar todos os riscos ou todas as condies. De um modo geral, as medidas de interveno da direo executiva so abertas e, normalmente documentadas ou reveladas ao pessoal apropriado. As medidas de neutralizao geralmente no so nem documentadas, nem reveladas, pois h a inteno de mant-las ocultas.

104

PricewaterhouseCoopers

O Que Fazer

12. O Que Fazer

As medidas que podem ser adotas em decorrncia deste relatrio dependem da posio e da funo das partes envolvidas.
Membros do Conselho de administrao os membros do conselho devem discutir com a direo executiva a situao do gerenciamento de riscos corporativos e supervision-los, quando necessrio. A diretoria tambm deve assegurarse que os mecanismos de gerenciamento de riscos corporativos da organizao funcionem com uma avaliao dos riscos mais significativos em relao estratgia e aos objetivos, inclusive no que diz respeito s medidas que a administrao est adotando e de que forma o sistema se enquadra no monitoramento do gerenciamento de riscos corporativos. O conselho deve colher informaes dos auditores internos, externos e consultores. Diretoria executiva este estudo sugere que o presidente deve avaliar as funcionalidades do processo de gesto de riscos corporativos. Por meio dessa estrutura, o presidente, em conjunto com os principais executivos operacionais e financeiros, pode concentrar sua ateno nos pontos necessrios. Segundo a abordagem, o presidente rene as chefias das unidades de negcios e o pessoal-chave funcional para discutir a avaliao inicial das funcionalidades e da eficcia do gerenciamento de riscos corporativos. Independentemente de seu formato, essa avaliao deve determinar se realmente existe essa necessidade e como prosseguir com uma avaliao de carter mais amplo e mais profundo. A referida avaliao tambm deve assegurar que os processos de monitoramento contnuo foram implementados. O tempo despendido na avaliao do gerenciamento de riscos corporativos representa um investimento capaz de oferecer um elevado retorno. Empregados da Organizao os gerentes e demais empregados devem considerar que suas responsabilidades no gerenciamento de riscos corporativos esto sendo conduzidas luz da presente estrutura, e discutir com a alta administrao (Conselho de administrao e diretoria executiva) idias que possam fortalecer o processo de gesto de riscos. Cabe aos auditores internos considerar a amplitude de seu enfoque no gerenciamento de riscos corporativos. rgos reguladores as expectativas sobre o gerenciamento de riscos corporativos variam grandemente em relao ao que este pode alcanar e ao significado do conceito de garantia razovel e de como deve ser aplicado. Essa estrutura possibilita uma viso compartilhada de gerenciamento de riscos corporativos, inclusive daquilo que pode fazer e de suas limitaes. Os rgos reguladores podem consultar essa estrutura ao estabelecer expectativas, por norma ou por orientao, ou ao conduzir inspees nas organizaes que supervisionam. Associaes Profissionais as organizaes normativas e outras entidades profissionais que fornecem orientaes a respeito de administrao financeira, auditoria e tpicos relacionados devem considerar os seus padres e orientaes luz da presente estrutura. A eliminao da diversidade de conceitos e da terminologia ser vantajosa para todas as partes.

105

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Educadores - essa estrutura pode ser tema de pesquisa e anlise acadmicas, para se identificar pontos que podem receber otimizaes futuras. Supondo-se que este relatrio seja aceito como base comum de entendimento, seus conceitos e termos devem passar a fazer parte dos currculos universitrios. Acreditamos que este relatrio oferea inmeros benefcios. Mediante a fundao para entendimento mtuo, todos podero falar uma linguagem comum e comunicar-se com maior eficcia. Os executivos tero condies de analisar os processos de gerenciamento de riscos corporativos em comparao com um padro, fortalecer o processo e conduzir suas organizaes na direo das metas estabelecidas. A pesquisa futura poder ser alavancada por uma base slida. Os legisladores e rgos reguladores podero obter melhor entendimento do gerenciamento de riscos corporativos, seus benefcios e suas limitaes. Se todos utilizarem uma estrutura comum de gerenciamento de riscos corporativos, os benefcios coletivos sero alcanados.

106

PricewaterhouseCoopers

Apndice A - Objetivos e Metodologia

A. Objetivos e Metodologia

Em meados de 2001, o Committee of Sponsoring Organizations of the Treadway Commission (COSO) iniciou um estudo com o intuito de ajudar as organizaes a gerenciar riscos. Apesar da vasta literatura sobre o tema, o COSO concluiu que seria necessrio que esse estudo formulasse e construsse estrutura e tcnicas de aplicao relacionadas. A PricewaterhouseCoopers foi contratada para conduzir o projeto, que culminou no presente relatrio, Gerenciamento de Riscos Corporativos Estrutura Integrada. O volume Estrutura define risco e gerenciamento de riscos corporativos e fornece definies bsicas, conceitos, categorias de objetivos e componentes e princpios para se estabelecer uma estrutura completa de gerenciamento de riscos corporativos. Oferece, tambm, instrues para Companhias e outras organizaes para determinarem como otimizar seu gerenciamento de riscos corporativos, fornecendo contexto para isso e facilitando a sua aplicao no mundo real. O presente documento tambm destina-se a servir de base para que uma organizao determine se o seu gerenciamento de riscos corporativos eficaz e, caso contrrio, o que necessita para torn-lo eficaz. O volume Tcnicas de Aplicao est diretamente associado Estrutura e apresenta ilustraes de tcnicas de gerenciamento de riscos que Companhias e outras organizaes podem implementar em vrios nveis corporativo, linha de negcios, processo ou funo e usar como apoio ao aprimoramento pontual ou evolutivo.

Como os leitores possuem diferentes necessidades, foram obtidas informaes de executivos corporativos de organizaes de diversos tamanhos, at mesmo de Companhias abertas e fechadas, e de diferentes setores e organizaes do governo. Os executivos incluram presidentes, executivos financeiros, executivos de riscos, controllers, auditores internos, legisladores, agentes normativos, advogados, auditores externos, consultores, acadmicos e outros. Ao longo de todo o projeto, a equipe recebeu assessoria e consultoria de um Conselho Consultivo do COSO. esse conselho, formado por altos executivos de gesto financeira, auditoria interna e externa e acadmicos, reunia-se periodicamente com a equipe de projeto e com os membros do Conselho do COSO para revisar o plano do projeto, o andamento e os esboos da estrutura e analisar os assuntos relacionados. Quando havia registros importantes, o Conselho Consultivo e a equipe de projetos comunicavam-se com o Conselho do COSO. A metodologia empregada neste estudo foi formulada com o intuito de proporcionar um relatrio para a realizao dos objetivos estabelecidos. O projeto constituiu-se de cinco fases:

107

Gerenciamento de Riscos Corporativos - Estrutura Integrada

I.

Avaliao
A equipe de projeto avaliou a situao atual dos modelos de gerenciamento de riscos mediante anlise da literatura, pesquisas e seminrios com a finalidade de colher informaes relevantes sobre todo o espectro de gerenciamento de riscos. Nessa fase, analisaram-se as informaes, comparando e contrastando conceitos, prticas das filosofias e protocolos de gerenciamento de riscos, entendimento das necessidades dos usurios e identificao de questes e problemas crticos.

IV.

Preparao para Exposio Pblica


Nessa fase, a equipe refinou a estrutura e desenvolveu, mais ainda, as tcnicas de aplicao, revisando-as com executivos de diversas organizaes, que forneceram feedback sobre seu valor e sua utilidade.

V.

Finalizao
Essa fase compreendeu a exposio pblica do volume sobre Estrutura por um perodo de 90 dias, durante o qual foram colhidos comentrios e realizados testes de campo da estrutura em organizaes selecionadas. Aps o recebimento dos comentrios, a equipe de projetos os revisou e analisou para identificar as modificaes necessrias. A equipe concluiu os volumes de Estrutura e Aplicaes Tcnicas, e forneceu os manuscritos finais ao conselho do COSO e seu Conselho Consultivo, para anlise e aprovao.

II.

Concepo
A equipe criou um modelo conceitual da estrutura de gerenciamento de riscos corporativos e desenvolveu um conjunto preliminar de ferramentas como base para as tcnicas de aplicao. Empregando tcnicas personalizadas de solicitao de informaes, a equipe testou os conceitos com os principais grupos de usurios e de stakeholders e, com base no feedback, refinou o modelo conceitual.

III.

Construo e Design
Com base no modelo conceitual refinado, a equipe desenvolveu a estrutura, inclusive as definies, as categorias de objetivos, os componentes, os princpios, a infra-estrutura e o contexto gerencial, ao longo das respectivas discusses. Essa fase tambm compreendeu a formulao da organizao e a abordagem para o desenvolvimento das tcnicas de aplicao. Para contemplar as reaes e obter sugestes de melhoria, o esboo da estrutura e o desenho das tcnicas de aplicao foram revisados, em conjunto, com os principais usurios e stakeholders.

Como parte desse processo, a equipe de projeto considerou cuidadosamente todas as informaes recebidas, incluindo outras estruturas j existentes. O Apndice D Bibliografia Selecionada apresenta uma lista de algumas das publicaes utilizadas como referncia. Como seria de se esperar, muitas opinies diferentes e, s vezes, contraditrias foram manifestadas quanto s questes fundamentais em uma certa fase do projeto ou entre elas. A equipe de projetos, sob a superviso do Conselho e do Conselho Consultivo do COSO, considerou cuidadosamente os mritos das posies manifestadas em carter individual e no contexto das questes relacionadas, adotando aquelas que facilitavam o desenvolvimento de uma estrutura relevante, lgica e internamente consistente. O Conselho Consultivo do COSO e a diretoria ofereceram seu total apoio, e aprovaram a estrutura resultante do processo.

108

PricewaterhouseCoopers

Apndice B - Resumo dos Princpios Fundamentais

B. Resumo dos Princpios Fundamentais

A seguir, destacam-se os princpios fundamentais dos oito componentes de gerenciamento de riscos. Este apndice no pretende descrever os princpios estabelecidos na Estrutura, nem precisamente ou em sua totalidade, nem representar uma lista completa de princpios.

Ambiente Interno
Filosofia de Gerenciamento de Riscos
A filosofia de gerenciamento de riscos de uma organizao representa as convices e as atitudes compartilhadas, o que caracteriza a maneira pela qual essa organizao considera o risco em todas as suas atividades. Reflete os valores da organizao, influenciando sua cultura e estilo operacional. Tem efeito sobre o modo pelo qual os componentes do gerenciamento de riscos corporativos so aplicados, inclusive como os eventos so identificados, os tipos de riscos aceitos e a forma como so administrados. Deve estar bem desenvolvida, entendida e apoiada pelo pessoal da organizao. Deve ser observada nas declaraes das polticas, comunicaes escritas e orais, e no processo decisrio. A administrao refora a filosofia no apenas verbalmente, mas por meio de suas aes do dia-a-dia.

Apetite a riscos
O apetite a riscos da organizao reflete a sua filosofia de gerenciamento de riscos, influencia a cultura e o estilo operacional. considerado no estabelecimento da estratgia, que deve estar alinhada ao apetite a riscos.

Conselho de Administrao
A diretoria ativa e tem um grau adequado de conhecimentos de gesto, tcnicos e outras especialidades, aliados atitude necessria para executar suas responsabilidades de superviso. Est preparada para questionar e apurar as atividades da gesto, apresentar opinies alternativas e agir no caso de atos ilcitos. Constitudo, ao menos, por maioria de conselheiros externos e independentes organizao. Fornece superviso ao gerenciamento de riscos corporativos, est ciente e concorda com o apetite a riscos da organizao.

109

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Integridade e Valores ticos


Os padres de comportamento da organizao refletem integridade e valores ticos. Os valores ticos no so apenas comunicados, mas tambm acompanhados por meio de orientao explcita sobre o que est certo ou errado. A integridade e os valores ticos so comunicados por intermdio de um cdigo de conduta formal. Existem canais ascendentes de comunicao pelos quais os empregados sentem-se confortveis em trazer informaes pertinentes. So aplicadas penalidades aos empregados que transgridem o cdigo; determinados mecanismos incentivam o empregado a denunciar suspeitas de infrao e medidas disciplinares so adotadas contra os que deixam de relat-las. A integridade e os valores ticos so transmitidos pelas aes da alta administrao e seus exemplos.

Estrutura Organizacional
A estrutura organizacional define as reas fundamentais de responsabilidade. Estabelece as linhas de comunicao. desenvolvida de acordo com o tamanho da organizao e a natureza de suas atividades. Possibilita um gerenciamento de riscos eficaz.

Atribuio de Autoridade e de Responsabilidade


A atribuio de autoridade e de responsabilidade estabelece at que ponto pessoas ou equipes esto autorizadas, e so incentivadas, a fazer uso de sua iniciativa para tratar de questes e resolver problemas, e estabelece limites de autoridade. As atribuies estabelecem relacionamentos de comunicao e protocolos de autorizao. As polticas descrevem as prticas comerciais apropriadas, o conhecimento e a experincia do pessoal-chave, bem como os recursos associados. Cada indivduo sabe como as suas aes interrelacionam-se e contribuem para a realizao dos objetivos.

Compromisso com a Competncia


A competncia dos empregados da organizao reflete o conhecimento e as habilidades necessrias para a execuo das tarefas designadas. A administrao alinha competncia ao custo.

Normas de Recursos Humanos


As normas tratam de admisso, orientao, treinamento, avaliao, aconselhamento, promoo, compensao e medidas corretivas, conduzindo os nveis previstos de integridade, de comportamento tico e de competncia. As medidas disciplinares transmitem a mensagem de que as infraes ao comportamento esperado no sero toleradas.

110

PricewaterhouseCoopers

Apndice B - Resumo dos Princpios Fundamentais

Fixao de Objetivos
Objetivos Estratgicos
Os objetivos estratgicos da organizao estabelecem metas em nvel elevado que se alinham e do suporte sua misso/viso. Refletem as escolhas estratgicas da administrao e o modo pelo qual a organizao tentar gerar valor para as partes interessadas. A administrao identifica os riscos associados s escolhas estratgicas e considera as suas implicaes.

Objetivos Selecionados
A administrao dispe de um processo que alinha os objetivos estratgicos com a misso da organizao e assegura que os objetivos estratgicos e correlatos tenham relao com seu apetite a riscos.

Apetite a Riscos
O apetite a riscos da organizao serve de guia para se fixar estratgias. Orienta a alocao de recursos. Alinha a organizao, o pessoal, os processos e a infra-estrutura.

Objetivos Correlatos
Os objetivos correlatos do suporte estratgia escolhida e so alinhados a ela; so relativos a todas as atividades da organizao. Cada nvel de objetivos est associado aos objetivos mais especficos, que fluem em cascata pela organizao. Os objetivos so facilmente entendidos e mensurados. Alinham-se ao apetite a risco.

Tolerncia a Riscos
As tolerncias a riscos so mensurveis, de preferncia, nas mesmas unidades que os objetivos correlatos. Alinham-se ao apetite a riscos.

111

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Identificao de Eventos
Eventos
A administrao identifica os eventos em potencial capazes de afetar a implementao da estratgia ou a realizao dos objetivos aqueles que podem provocar impacto positivo ou negativo, ou ambos. Mesmo os eventos de possibilidade relativamente reduzida de ocorrncia so considerados se o impacto sobre a realizao de um objetivo importante for significativo.

Tcnicas de Identificao de Eventos


Tcnicas utilizadas para examinar o passado e o futuro. A administrao seleciona tcnicas que se ajustam filosofia de gerenciamento de riscos e assegura que a organizao desenvolve as funcionalidades necessrias identificao de eventos. A identificao de eventos um sistema complexo, que constitui a base para os componentes de avaliao e de resposta a riscos.

Fatores Influenciadores
A administrao reconhece a importncia de se entenderem os fatores externos e internos e o tipo de eventos gerado por eles. Os eventos so identificados no mbito da organizao e da atividade.

Interdependncias
A administrao entende o modo pelo qual os eventos se relacionam.

Diferenciao entre Riscos e Oportunidades


Os eventos capazes de causar impacto negativo representam riscos, os quais a administrao avalia e gera uma resposta. Os eventos que representam oportunidades so canalizados de volta aos processos de fixao de objetivos ou da estratgia da organizao.

112

PricewaterhouseCoopers

Apndice B - Resumo dos Princpios Fundamentais

Avaliao de Riscos
Ao avaliar riscos, a administrao considera os eventos previstos e imprevistos.

Resposta a Riscos
Ao responder ao risco, a administrao considera se dever evit-lo, reduzi-lo, compartilh-lo ou aceit-lo.

Risco Inerente e Risco Residual


A administrao avalia os riscos inerentes. Aps o desenvolvimento das respostas aos riscos, a administrao passa a considerar o risco residual.

Avaliao das Possveis Respostas


As respostas so avaliadas com a finalidade de se alinhar o risco residual s tolerncias aos riscos. Ao avaliar as respostas a riscos, a administrao considera seus efeitos sobre a probabilidade e o impacto. A administrao considera os custos em relao aos benefcios e s novas oportunidades.

Estimativa da Probabilidade e do Impacto


Os eventos em potencial so avaliados com base em duas perspectivas: probabilidade e impacto. Ao avaliar o impacto, a administrao geralmente aplica a mesma unidade compatvel de medida que a utilizada para o objetivo. O horizonte de tempo para se avaliar riscos deve ter relao com o horizonte de tempo da estratgia correlata e dos objetivos.

Respostas Selecionadas
As respostas selecionadas pela administrao so formuladas para levar a probabilidade de risco e o seu impacto a nveis compatveis com as tolerncias a riscos. A administrao considera os riscos adicionais que podem surgir de uma resposta.

Tcnicas de Avaliao
A administrao emprega uma combinao de tcnicas qualitativas e quantitativas. As tcnicas do suporte ao desenvolvimento de uma avaliao combinada de riscos.

Viso em Portflio
A administrao considera o risco com base na perspectiva de toda a organizao ou em uma viso de portflio. A administrao determina se o perfil de risco residual da organizao proporcional ao seu apetite a riscos.

Relaes entre Eventos


Nos casos em que existe correlao entre eventos, ou em que os eventos se combinam e interagem, a administrao os avalia em conjunto.

113

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Atividades de Controle
Integrao com a Resposta a Riscos
A administrao identifica as atividades de controle necessrias para assegurar que as respostas a riscos sejam conduzidas de maneira adequada e oportunamente. A seleo ou a reviso das atividades de controle incluem a considerao de sua pertinncia e a adequao s respostas aos riscos e ao objetivo correlato. Ao selecionar as atividades de controle, a administrao considera o modo pelo qual as atividades de controle se inter-relacionam.

Informao e Comunicao

Informaes
Informaes pertinentes so obtidas de fontes internas e externas. A organizao colhe e utiliza os dados histricos e atuais necessrios para o apoio adequado ao gerenciamento de riscos corporativos. A infra-estrutura de informaes converte os dados puros em informaes pertinentes, que ajudaro os empregados a incumbir-se de suas responsabilidades de gerenciamento de riscos corporativos e de outras responsabilidades; as informaes so fornecidas na profundidade, forma e no prazo, que as tornam acionveis, imediatamente utilizveis e vinculadas a responsabilidades definidas, inclusive as relacionadas necessidade de identificar, avaliar e responder ao risco. Os dados-fonte e as informaes so confiveis e fornecidos oportunamente e no local adequado, a fim de possibilitar um processo decisrio eficaz. A pontualidade do fluxo de informaes consistente com o ndice de mudana nos ambientes interno e externo da organizao. Os sistemas de informaes mudam sempre que necessrio, para que possam dar suporte aos novos objetivos.

Tipos de Atividades de Controle


A administrao escolhe com base numa variedade de atividades de controle, at mesmo atividades preventivas, de deteco, manuais, informatizadas e administrativas.

Polticas e Procedimentos
As polticas so implementadas ponderada, conscienciosa e consistentemente. Os procedimentos so executados com um enfoque ntido e continuado das condies s quais a poltica direcionada. As condies identificadas em decorrncia do procedimento so investigadas, e medidas corretivas apropriadas so adotadas.

Comunicaes
A administrao fornece comunicao especfica e dirigida, abordando expectativas do comportamento e das responsabilidades do pessoal, inclusive uma declarao transparente da filosofia de gerenciamento de riscos da organizao, abordagem, e clara delegao de autoridade.

Controles de Sistemas de Informaes


Implementam-se os controles apropriados: gerais e para aplicaes.

114

PricewaterhouseCoopers

Apndice B - Resumo dos Princpios Fundamentais

Monitoramento
A comunicao sobre processos e procedimentos, sustenta e est alinhada cultura desejada. Todo o pessoal recebe uma mensagem claramente delineada da alta administrao, de que o gerenciamento de riscos corporativos deve ser levado a srio. O pessoal sabe como suas atividades relacionam-se com o trabalho dos outros, o que os capacita a reconhecer problemas, determinar a causa e adotar medidas corretivas. O pessoal sabe o que considerado comportamento aceitvel e inaceitvel. Existem canais abertos de comunicao e disposio de ouvir, e o pessoal acredita que seus superiores realmente desejam conhecer os problemas e trat-los com eficcia. Existem canais de comunicao fora dos costumeiros, e o pessoal entende que no haver represlia comunicao de informaes relevantes. Existem canais de comunicao abertos entre o conselho de administrao e a diretoria executiva, em que as informaes adequadas so comunicadas oportunamente. Existem canais de comunicao abertos a clientes e fornecedores, que podem oferecer informaes significativas. A empresa transmite informaes relevantes a rgos reguladores, analistas financeiros e outras partes externas. A administrao determina, por meio de atividades contnuas de monitoramento ou avaliaes independentes, ou por uma combinao dessas, se o gerenciamento de riscos corporativos atual continua eficaz.

Atividades Contnuas de Monitoramento


As atividades de monitoramento so incorporadas s operaes normais e recorrentes da organizao, realizadas no decurso natural dos negcios. So conduzidas em tempo real e reagem dinamicamente a condies em fase de transio.

Avaliaes Independentes
As avaliaes separadas enfocam diretamente a eficcia do gerenciamento de riscos corporativos e oferecem oportunidade de considerar a manuteno da eficcia das atividades contnuas de monitoramento. O avaliador entende cada uma das atividades da organizao e cada um dos componentes de gerenciamento de riscos corporativos que est sendo abordado. O avaliador analisa o desenho do processo de gesto de riscos corporativos e os resultados dos testes executados, comparados com as normas estabelecidas pela administrao, e determina se o gerenciamento de riscos corporativos oferece uma garantia razovel referente aos objetivos definidos.

115

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Funes e Responsabilidades
Relato de Deficincias
As deficincias relatadas a partir de fontes internas e externas so consideradas cuidadosamente por suas implicaes para o gerenciamento de riscos corporativos, e medidas corretivas apropriadas so adotadas. Todas as deficincias identificadas, capazes de afetar a capacidade da organizao de desenvolver e implementar a sua estratgia e realizar seus objetivos preestabelecidos, so relatadas s pessoas com condies de adotar as medidas necessrias. No apenas as transaes ou os eventos relatados so investigados e corrigidos, mas tambm os procedimentos subjacentes potencialmente falhos tambm so reavaliados. So estabelecidos protocolos para se identificar as informaes necessrias em um certo nvel para um processo decisrio mais eficaz.

Conselho de Administrao
O Conselho tem conhecimento que ponto a administrao estabeleceu, na organizao, um gerenciamento de riscos corporativos eficaz. Est ciente e concorda com o apetite a riscos. Analisa a viso de portflio dos riscos contrastantes com o apetite a riscos. informada dos riscos mais significativos e sobre a administrao, se est ou no respondendo adequadamente.

Administrao
Cabe ao presidente a responsabilidade final pelo gerenciamento de riscos corporativos. O presidente assegura que o ambiente interno positivo e que todos os componentes de gerenciamento de riscos corporativos esto implementados. Os gerentes de alto nvel, encarregados das unidades organizacionais, so responsveis pelo gerenciamento dos riscos relacionados aos objetivos de suas unidades. Orientam a aplicao do gerenciamento de riscos corporativos, assegurando-se de que essa aplicao consistente com a tolerncia a risco. Todo gestor responsvel, perante o nvel imediatamente superior, por sua parcela de gerenciamento de riscos corporativos, cabendo ao presidente a responsabilidade final ante o conselho.

116

PricewaterhouseCoopers

Apndice B - Resumo dos Princpios Fundamentais

Demais Funcionrios da Organizao


O gerenciamento de riscos corporativos faz parte explcita ou implcita da descrio de cargo de todo empregado. O pessoal est ciente da necessidade de resistir presso de superiores para participar de atividades ilcitas e da disponibilidade de canais de comunicao fora das linhas normais, para possibilitar o relato dessas circunstncias. As funes e responsabilidades de todo o pessoal pelo gerenciamento de riscos corporativos esto nitidamente definidas e comunicadas adequadamente.

Partes que Interagem com a Organizao


Os mecanismos j esto implementados para receber informaes pertinentes das partes que interagem com a empresa e adotar as medidas cabveis. As medidas no se limitam a resolver apenas uma situao especfica relatada, mas tambm a investigar a fonte subjacente do problema e corrigi-la. A administrao implementou um programa para monitorar as atividades terceirizadas. A administrao leva em conta as observaes e os insights de analistas financeiros, agncias de rating e da mdia jornalstica, que podem otimizar o gerenciamento de riscos corporativos.

117

Apndice C - Relao Entre Gerenciamento de Riscos Corporativos - Estrutura Integrada e Controle Interno - Estrutura Integrada

C. Relao Entre Gerenciamento de Riscos Corporativos - Estrutura Integrada e Controle Interno - Estrutura Integrada
Em 1992, o Committee of Sponsoring Organizations of the Treadway Commission publicou o Internal Control Integrated Framework, que estabelece uma estrutura de controles internos e fornece ferramentas de avaliao para uso de empresas e de outras entidades para avaliar seus sistemas de controle. A estrutura identifica e descreve cinco componentes inter-relacionados e necessrios para um controle interno eficaz. O Internal Control Integrated Framework define o controle interno como um processo conduzido pelo conselho de administrao, pela administrao e pelo corpo de empregados de uma organizao, com a finalidade de possibilitar uma garantia razovel quanto realizao dos objetivos nas seguintes categorias: Eficcia e eficincia das operaes; Confiabilidade das demonstraes financeiras; Conformidade com leis e regulamentos cabveis. Este apndice esboa a relao entre a estrutura de controle interno e a estrutura do gerenciamento de riscos corporativos.

Mais Amplo que Controle Interno


O controle interno est situado no centro, e faz parte integral do gerenciamento de riscos corporativos. Esse gerenciamento de carter mais amplo do que o controle interno, expandindo e acrescentando detalhes ao controle interno para formar uma conceituao mais robusta e totalmente focada em risco. O Internal Control Integrated Framework permanece implementado para empresas e outras organizaes que procuram apenas o controle interno isolado.

Categorias de Objetivos
O Internal Control Integrated Framework especifica trs categorias de objetivos: operacionais, relatrios financeiros e compliance. O gerenciamento de riscos corporativos especifica trs categorias de objetivos semelhantes: operacionais, de comunicao e de compliance. A categoria de comunicaes na estrutura de controle interno relaciona-se com a confiabilidade das demonstraes financeiras publicadas. Na estrutura do gerenciamento de riscos corporativos, a categoria de comunicao foi expandida significativamente, a fim de envolver todos os relatrios desenvolvidos pela organizao, divulgados tanto interna quanto externamente. Essa categoria inclui os relatrios utilizados internamente

119

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Viso de Portflio
pela administrao e os publicados para partes externas, inclusive arquivamentos obrigatrios e relatrios a outros stakeholders. Alm disso, seu alcance estende-se, partindo da situao financeira, mas no se limitando a cobrir as informaes financeiras em um carter mais amplo, mas tambm as informaes no financeiras. O Gerenciamento de Riscos Corporativos Estrutura Integrada adiciona outra categoria de objetivos, ou seja, objetivos estratgicos, que atuam em um nvel mais elevado que os outros. Os objetivos estratgicos fluem da misso ou da viso da organizao, enquanto os objetivos operacionais, de comunicao e de compliance devem estar alinhados a eles. O gerenciamento de riscos corporativos aplicado para se definir a estratgia, assim como nas aes para que esses objetivos sejam alcanados nas outras trs categorias. A estrutura de gerenciamento de riscos corporativos introduz os conceitos de apetite a riscos e a tolerncia a risco. O apetite a riscos a quantidade de risco estabelecida, de modo amplo que uma empresa est disposta a aceitar na busca de sua misso/viso. O apetite a riscos serve como ponto de referncia para se fixar as estratgias e a escolha dos objetivos correlatos. As tolerncias a riscos so os nveis aceitveis de variao referentes realizao dos objetivos. Ao fixar as tolerncias a riscos, a administrao analisa a importncia relativa dos objetivos correlatos e alinha as tolerncias com o apetite a riscos. A utilizao de tolerncias a riscos propicia administrao maior garantia de que a organizao permanece dentro de seu apetite a riscos, o qual, por sua vez, possibilita maior grau de conforto de que a empresa realizar os seus objetivos. Um conceito no contemplado na estrutura de controle interno a viso de portflio dos riscos, que, alm de se concentrar nos riscos ao se analisar o cumprimento de cada um dos objetivos da organizao, leva em conta os riscos combinados em uma viso de carteira.

Componentes
Com maior enfoque em risco, a estrutura de gerenciamento de riscos corporativos amplia o componente de gerenciamento de riscos da estrutura de controle interno, criando quatro componentes: fixao de objetivos (que um pr-requisito do controle interno), identificao de eventos, avaliao de riscos e resposta a riscos.

Ambiente Interno
Ao abordar o ambiente, a estrutura de gerenciamento de riscos corporativos discute uma filosofia de vinculada a esse gerenciamento, a qual um conjunto de convices e atitudes compartilhadas, que caracterizam a forma por meio da qual a organizao considera os riscos, refletindo os seus valores e influenciando sua cultura e estilo operacional. Como j descrevemos anteriormente, a estrutura compreende o conceito do apetite a riscos, que mantido mediante tolerncias a riscos mais especficas. Em vista da importncia crtica do conselho de administrao e de sua composio, a estrutura de gerenciamento de riscos corporativos amplia o requisito da estrutura de controle interno para pelo menos uma massa crtica de diretores independentes - isto , normalmente um mnimo de dois diretores independentes e afirma que, para que o gerenciamento de riscos corporativos possa ser eficaz, o conselho dever possuir, pelo menos em sua maioria constituda, conselheiros externos independentes.

120

PricewaterhouseCoopers

Apndice C - Relao Entre Gerenciamento de Riscos Corporativos - Estrutura Integrada e Controle Interno - Estrutura Integrada

Identificao de Eventos
As estruturas de gerenciamento de riscos corporativos e de controle interno reconhecem que os riscos podem ocorrer em qualquer nvel da organizao, bem como ser originados de uma variedade de fatores internos e externos. Assim, ambas as estruturas consideram a identificao de riscos no contexto do potencial de impacto sobre a realizao dos objetivos. A estrutura de gerenciamento de riscos corporativos aborda o conceito de eventos em potencial, definindo um evento como um incidente ou uma ocorrncia gerada por fontes internas ou externas, que afetam a implementao da estratgia ou a realizao dos objetivos. Os eventos em potencial cujo impacto positivo representam oportunidades, enquanto os de impacto negativo representam riscos. O gerenciamento de riscos corporativos requer a identificao desses eventos em potencial, utilizando uma combinao de tcnicas que examinam tendncias passadas e emergentes, capazes de desencadear eventos.

Avaliao de Riscos
Enquanto a estrutura de controle interno e a do gerenciamento de riscos corporativos requerem a avaliao de riscos em termos de sua probabilidade de ocorrncia e impacto potencial, a estrutura de gerenciamento de riscos corporativos recomenda a avaliao de riscos por meio de uma lente mais poderosa. Os riscos so considerados inerentes e, sob o aspecto residual, expressos de preferncia na mesma unidade de mensurao que a usada para os objetivos aos quais os riscos se relacionam. Os horizontes de tempo devem ser consistentes com as estratgias, com os objetivos da organizao e, se possvel, com os dados observveis. A estrutura de gerenciamento de riscos corporativos tambm chama a ateno para os riscos inter-relacionados, descrevendo como um nico evento poder gerar diversos riscos. Como foi observado, o gerenciamento de riscos corporativos considera a necessidade da administrao desenvolver uma viso de carteira no mbito de toda a organizao. Os gestores so os responsveis por unidade de negcios, funo, processo ou outras atividades, com o desenvolvimento de uma avaliao combinada dos riscos em relao a unidades especficas, a alta direo, no mbito de toda a organizao, analisa riscos a partir de uma perspectiva de carteira.

Resposta a Riscos
A estrutura de gerenciamento de riscos corporativos identifica quatro categorias de resposta a riscos: evitar, reduzir, compartilhar e aceitar. Como parte do gerenciamento de riscos corporativos, a administrao considera as respostas em potencial dessas categorias e com a finalidade de obter um nvel de risco residual compatvel com as tolerncias a riscos da empresa. Aps considerar essas respostas a riscos, isoladamente ou em grupo, a administrao avalia o efeito agregado destas em toda a organizao.

Atividades de Controle
Ambas as estruturas apresentam atividades de controle para ajudar a assegurar que as respostas a riscos da administrao sejam executadas. A estrutura de gerenciamento de riscos corporativos ressalta expressamente que em determinadas circunstncias as prprias atividades de controle servem de resposta a riscos.

121

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Informao e Comunicao
A estrutura de gerenciamento de riscos corporativos permite detalhar melhor o componente de controle interno de informaes e comunicao, incentivando o exame de dados extrados de eventos passados, presentes e futuros em potencial. Os dados histricos permitem que a organizao compare o desempenho real em relao s metas, aos planos e s expectativas e possibilita insights sobre o desempenho da organizao em perodos anteriores e em condies variadas. Dados correntes ou dados da situao atual possibilitam importantes informaes adicionais; j dados sobre eventos futuros em potencial e fatores subjacentes completam a anlise das informaes. A infra-estrutura de informaes procura e colhe dados em um perodo de tempo e uma profundidade de detalhes consistentes com a necessidade que a organizao tem de identificar eventos, avali-los, responder aos riscos e manter seu apetite a riscos dentro do escopo planejado. O debate sobre a existncia de um canal de comunicao alternativo, fora das linhas normais de comunicao, na estrutura de controle interno d mais nfase na estrutura de gerenciamento de riscos corporativos, que afirma que um processo de gesto de riscos eficaz requer o referido canal.

Funes e Responsabilidades
Ambas as estruturas concentram-se nas funes e nas responsabilidades de vrias partes que as compem, ou fornecem informaes importantes ao controle interno e ao gerenciamento de riscos corporativos. A estrutura de gerenciamento de riscos corporativos descreve a funo e as responsabilidades dos responsveis por riscos, e possibilita detalhes adicionais a respeito da funo da diretoria executiva de uma organizao.

122

PricewaterhouseCoopers

Apndice D - Bibliografia Selecionada

D. Bibliografia Selecionada

American Institute of Certified Public Accountants and The Canadian Institute of Chartered Accountants. Managing Risk in the New Economy . New York. AICPA. 2000. Banham, Russ. A High Level of Intolerance. CFO, The Magazine for Senior Financial Executives, April 2000. Barton ,Thomas L., William G. Shenkir, and Paul L.Walker. Making Enterprise Risk Management Pay Off: How Leading Companies Implement Risk Management. Financial Executive, 2001. Bazerman, Max H. Judgment in Managerial Decision Making . New York: John Wiley & Sons, 2001. Committee of Sponsoring Organizations of the Treadway Commission (COSO). Internal Control Integrated Framework . New York: AICPA, 1992. Crouhy, Michael, Dan Galai, and Robert Mark. Risk Management. New York: McGraw-Hill, 2001. Davidson, Clive. Lofty Ambitions for Measuring Global Risk. Securities Industry News, June 5, 2000. DeLoach, James W. Enterprise-Wide Risk Management: Strategies for Linking Risk and Opportunity. London: Financial Times Prentice Hall, 2000. DiPiazza, Samuel A., Jr. and Robert G. Eccles. Building Public Trust: The Future of Corporate Reporting. New York. John Wiley & Sons. 2002. Everson, Miles. Creating an Operational Risk-Sensitive Culture. The RMA Journal. March 1, 2002. Economist Intelligence Unit in cooperation with Arthur Andersen & Co. Managing Business Risk An Integrated Approach. The Economist Intelligence Unit, 1995. Economist Intelligence Unit in cooperation with MCC Enterprise Risk. Enterprise Risk Management Implementing New Solutions. The Economist Intelligence Unit, 2001. FEI Research Foundation in cooperation with Andersen. Risk Management: An Enterprise Perspective. Financial Executive, 2002. Haubenstock, Michael and John Gontero. Operational Risk Management: The Next Frontier . New York: RMA, 2001. Institute of Chartered Accountants in England and Wales. Internal Control Guidance for Directors on the Combined Code. London: ICAEW, 1999.

123

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Institute of Directors in Southern Africa. King Report on Corporate Governance for South Africa 2001. The Institute of Directors in Southern Africa, 2001. International Organization for Standardization. ISO/IEC Guide 73. 2002. Lam, James. The CRO Is Here to Stay. Risk Management. April 2001. National Commission on Fraudulent Financial Reporting. Report of the National Commission on Fraudulent Financial Reporting, 1987. Nottingham, Lucy. A Conceptual Framework for Integrated Risk Management. Ottawa: Conference Board of Canada, 1997. Risk Management Group of the Basel Committee on Banking Supervision. Sound Practices for the Management and Supervision of Operational Risk, 2001. Root, Stephen J. Beyond COSO Internal Control to Enhance Corporate Governance. New York: John Wiley & Sons, 1998. Standards Australia and Standards New Zealand. Australian/New Zealand Standard 4360:1999: Risk Management. Standards Australia and Standards New Zealand, 1999. Steinberg, Richard M. The CEO and the Board: Enhancing the Relationship. G100 Insights. April 2003. Steinberg, Richard M. and Catherine L. Bromilow. Corporate Governance and the Board What Works Best. The Institute of Internal Auditors Research Foundation, 2001. The Institute of Risk Management (IRM), The Association of Insurance and Risk Managers (AIRMIC), and ALARM The National Forum for Risk Management in the Public Sector. A Risk Management Standard. AIRMIC, ALARM, and IRM, 2002. Thiessen, Karen. A Composite Sketch of Chief Risk Officer. Ottawa: Conference Board of Canada, 2001. Thiessen, Karen. Dont Gamble with Goodwill The Value of Effectively Communicating Risks. Ottawa: Conference Board of Canada, 2000. TillinghastTowers Perrin. Enterprise Risk Management: Trends and Emerging Practices. New York: TillinghastTowers Perrin, 2001. Walker, Paul L., William G. Shenkir, and Thomas L. Barton. Enterprise Risk Management: Pulling It All Together. The Institute of Internal Auditors Research Foundation, 2002.

124

PricewaterhouseCoopers

Apndice E - Considerao aos Comentrios Recebidos

E. Considerao aos Comentrios Recebidos

Conforme observado no Apndice A, uma minuta deste documento sobre a estrutura foi elaborada e exposta para suscitar comentrios pblicos. As 78 cartas contm centenas de comentrios isolados a respeito de uma variedade de questes. Levamos em conta cada um dos comentrios elaborados ao formular revises no documento final. Este apndice apresenta de forma resumida no apenas as questes mais significativas e as modificaes resultantes que se refletem no relatrio definitivo, mas tambm os motivos segundo os quais determinadas opinies foram aceitas em lugar de outras.

Definio de Gerenciamento de Riscos Corporativos


Gerao de Valor para as Partes Interessadas
A minuta exposta descreve como o gerenciamento de riscos corporativos permite que uma organizao gere valor para s partes interessadas, embora o conceito de valor no esteja explicitamente refletido na definio de gerenciamento de riscos corporativos. Alguns dos comentrios sugerem que a definio deva fazer uma referncia expressa. Concluiu-se que a definio apresentada deveria ser mantida, uma vez que afirma com clareza que o gerenciamento de riscos corporativos implica o fornecimento de assistncia para atingir os objetivos da organizao, os quais inerentemente geram valor. Alm disso, o esboo da definio descreve como o gerenciamento de riscos corporativos gera valor s partes interessadas. Em virtude da existncia dessa associao ao valor e da descrio deste, e para evitar definies exageradamente longas (como foi sugerido por outros colaboradores que enviaram os seus comentrios), a definio atual foi mantida.

Oportunidades
A minuta apresentada descreve o modo como o gerenciamento de riscos corporativos requer a identificao e a abordagem a eventos em potencial que possam provocar um impacto negativo a uma organizao, os quais so chamados de riscos, e os eventos de impacto positivo so denominados oportunidades. Algumas das cartas afirmavam que, em virtude da importncia da identificao de oportunidades, a definio de risco deveria ser ampliada a fim de incluir esse conceito. Outros defendiam que a no incluso das oportunidades na definio de riscos poderia induzir o leitor a no ver as oportunidades como parte do gerenciamento de riscos corporativos, enfraquecendo, desse modo, a pertinncia da estrutura. Por outro lado, determinados leitores sugeriram que todas as referncias s oportunidades deveriam ser eliminadas do relatrio final.

125

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Concluiu-se que, em virtude da importncia de identificar e aproveitar as oportunidades, a discusso das oportunidades da estrutura deveria ser mantida e otimizada, e o relatrio final ampliar a discusso de identificar e reagir s oportunidades, como parte integrante do gerenciamento de riscos corporativos. As discusses nos captulos componentes do relatrio final descrevem ainda mais o processo pelo qual a administrao considera tanto os efeitos negativos quanto os positivos ou o aspecto da oportunidade dos eventos em potencial no gerenciamento de riscos. No que tange definio de risco, concluiu-se que a adio do conceito de oportunidade encobriria os conceitos, dificultando ainda mais a comunicao. Manter a distino entre um evento negativo e um positivo traz clareza linguagem do gerenciamento de riscos corporativos.

Aplicado a uma Estratgia Definida


A minuta apresentada descreve como os objetivos devem ser estabelecidos e comunicados, antes que os riscos sua realizao possam ser identificados e solucionados. Afirma-se, tambm, que as tcnicas de gerenciamento de riscos corporativos sejam aplicadas na fixao das estratgias, para assistir administrao na avaliao e da seleo das estratgias para a organizao, e da sua associao aos objetivos correlatos. Algumas pessoas comentaram que o gerenciamento de riscos secundrio ao desenvolvimento de uma estratgia para a organizao elaborada pela administrao, e que a estrutura gera um enfoque demasiado em riscos ao invs de na fixao de objetivos. Concluiu-se que no necessrio nem til retratar o conceito, a definio da estratgia como aspectos mais importantes do que o gerenciamento de riscos. Ambos so importantes e inerentes ao gerenciamento de riscos corporativos. Entretanto, o documento final contm uma discusso mais elaborada do processo de definio de estratgias e de objetivos na execuo do gerenciamento de riscos corporativos.

Um Processo
A minuta apresentada ao pblico define o gerenciamento de riscos corporativos como um processo e, ainda, estabelece componentes que podem ser vistos como elementos deste. Alguns leitores afirmaram que o termo processo inadequado, porque implica a execuo de etapas ou tarefas seqenciais. O presente relatrio foi revisado para reforar o conceito de que o gerenciamento de riscos corporativos no necessariamente conduzido de forma seqencial, mas, na realidade, uma atuao recproca contnua e repetitiva de aes conduzidas por uma organizao.

Apetite a Riscos e Tolerncias a Riscos


A minuta apresentada discute os conceitos de apetite a riscos e as tolerncias a riscos. Alguns leitores sugerem que seria conveniente apresentar informaes adicionais, inclusive orientao sobre como expressar e mensurar o apetite a riscos. Outros leitores afirmam que existe muito pouca diferena entre esses dois conceitos e que ambos devem ser combinados. O relatrio final mantm a diferenciao entre apetite a riscos e tolerncias a riscos, segundo a qual o apetite a riscos pertence a um nvel elevado na organizao como um todo, enquanto que as tolerncias a riscos referem-se a objetivos especficos. O volume Tcnicas de Aplicao ilustra a aplicao desses conceitos.

126

PricewaterhouseCoopers

Apndice E - Considerao aos Comentrios Recebidos

Eficcia
Permite Garantia Razovel
Determinados leitores sugerem que o conceito de garantia razovel deve ser definido com maior exatido. Concluiu-se que o debate sobre o termo garantia razovel adequado, porm uma maior exatido nessa definio est alm do alcance desse projeto. Diversos leitores afirmam que a eficcia do gerenciamento de riscos corporativos deve ser definida em relao aos resultados obtidos, mensurados em termos dos resultados que o processo deve alcanar, em vez de um julgamento subjetivo do fato dos oito componentes estarem ou no presentes e funcionando adequadamente. O critrio de eficcia a presena e o funcionamento efetivo de cada componente permanece no documento final. Concluiu-se que o princpio desenvolvido na estrutura de controle interno e transportado para a estrutura de gerenciamento de riscos corporativos lgico e atende adequadamente s necessidades dos usurios (e inexistem fraquezas significantes), o resultado que a administrao e a diretoria adquirem garantia razovel dos objetivos estipulados. O documento final mantm esse princpio e tambm ressalta que compatibilizar o risco com o apetite a riscos da organizao um elemento necessrio do gerenciamento de riscos corporativos bem-sucedido. O conceito de um julgamento subjetivo em relao presena e ao funcionamento dos oito componentes foi eliminado pelo fato de que o julgamento pode ser objetivo, com base nos princpios dessa estrutura.

Categorias de Objetivos
Determinados leitores afirmam que o estabelecimento de categorias de objetivos de uma organizao no tem validade e, ainda, complica exageradamente a estrutura. O documento final mantm a categoria de objetivos da organizao, que fundamentado no motivo que a categorizao possibilita um enfoque nos diferentes aspectos do gerenciamento de riscos corporativos, facilita a diferenciao entre aquilo que pode ser esperado de cada categoria de objetivos e incentiva a utilizao de uma linguagem comum para o gerenciamento de riscos corporativos.

Realizao dos Objetivos


Alguns leitores questionam o motivo segundo o qual a garantia razovel somente aplicada ao ponto at o qual os objetivos estratgicos e operacionais esto sendo realizados em vez de aplicada sua realizao efetiva. Concluiu-se que a diferenciao entre aquilo que pode ser esperado do gerenciamento de riscos corporativos quanto ao cumprimento dos objetivos estratgicos e operacionais, de comunicao e de compliance, continua a ser adequada pelos motivos apresentados no documento, concentrando-se dessa forma, no fato da realizao estar dentro do controle de uma organizao ou fora dele.

Abrange o Controle Interno


A minuta, apresentada ao pblico, continha uma parte, mas nem todo o texto de Controle Interno Estrutura Integrada, indicando que a totalidade do documento de controle interno havia sido incorporada por referncia na estrutura de gerenciamento de riscos corporativos. A referida minuta inclua um apndice que compara e contrasta as duas estruturas.

127

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Alguns leitores sugerem que o relatrio final deve identificar com maior proeminncia as partes transportadas do Controle Interno Estrutura Integrada. Outros recomendam incluir a totalidade do Controle Interno Estrutura Integrada como anexo, com uma reconciliao detalhada das diferenas entre os dois documentos, enquanto que outros sugerem que o documento deve descrever em detalhes o modo em que o Controle Interno Estrutura Integrada ampliado na estrutura do gerenciamento de riscos corporativos. Finalmente, outros leitores sugerem que o documento ressalte e esclarea qual o grupo-alvo pretendido e a finalidade de cada estrutura.

Concluiu-se que a descrio das diferenas entre as estruturas est no nvel apropriado. O Apndice C reala as diferenas fundamentais e identifica os conceitos da estrutura de gerenciamento de riscos corporativos que esto diretamente incorporados com base no Controle Interno Estrutura Integrada, os conceitos extrados da estrutura de controle interno que foram ampliados e os novos conceitos. No se considerou necessrio incluir a estrutura de controle interno como anexo, pelo fato de que se encontra facilmente disponvel aos usurios. Alm da finalidade e do grupo-alvo pretendido por cada uma das estruturas, j esto descritos em suficiente detalhe.

O Gerenciamento de Riscos Corporativos e o Processo de Gerenciamento


Alguns leitores sugerem que o anexo que compara as atividades de gerenciamento com as atividades de gerenciamento de riscos corporativos propiciam muito poucas informaes e, dessa forma, podem gerar confuso entre os leitores. Alguns afirmam que considerar as atividades de gerenciamento como se fossem diferentes das atividades de gerenciamento de riscos corporativos pode reduzir ao invs de reforar a idia de incorporar o gerenciamento de riscos s atividades de negcios e de gerenciamento. O anexo da minuta apresentada ao pblico no foi transportado para o relatrio final e, em seu lugar, mensagens relevantes so apresentadas no texto.

Informao e Comunicao
Determinados leitores tecem comentrios sobre a importncia de um canal fora das linhas normais de comunicao, sugerindo que esse canal seja um elemento necessrio no gerenciamento de riscos corporativos. O relatrio final reflete essa opinio, afirmando que, para que o gerenciamento de riscos corporativos possa ser eficaz, a organizao dever manter o referido canal de comunicao.

128

PricewaterhouseCoopers

Apndice E - Considerao aos Comentrios Recebidos

Funes e Responsabilidades
Alguns leitores sugerem que preciso maior clareza em relao s diferentes responsabilidades no gerenciamento de riscos corporativos para o conselho, a administrao, os empregados da organizao e as partes externas interessadas. O relatrio final amplia o debate e esclarece as respectivas funes e responsabilidades dessas partes.

Outras Consideraes
Forma e Apresentao
Alguns leitores comentam sobre o tamanho, o formato e o estilo da minuta de apresentao e expressam inmeras opinies novas sobre a maneira pela qual o relatrio poderia ser reorganizado e dinamizado. Concluiu-se que o relatrio deveria ser reorganizado e dinamizado para otimizar a sua leitura e clareza e, ainda, reduzir redundncias. O Sumrio Executivo da minuta de apresentao foi substitudo por um resumo mais breve. O Captulo 1 da minuta de apresentao, Importncia do Gerenciamento de riscos corporativos, foi suprimido, sendo os conceitos de maior importncia incorporados ao captulo, Definio, do relatrio final. As redundncias foram reduzidas, as consideraes de menor importncia eliminadas e o fraseado do relatrio foi dinamizado.

Relao entre Gerenciamento de Riscos Corporativos Estrutura Integrada e Outros Relatrios e Legislao
Alguns leitores afirmam que seria til discutir as relaes entre a estrutura do gerenciamento de riscos corporativos e o Ato Sarbanes-Oxley de 2002, The Basel Committee on Banking Supervisions New Basel Capital Accord, e a legislao de gerenciamento de riscos na Austrlia, Canad, Alemanha, Japo, Reino Unido e outros pases. Determinados leitores recomendam que o documento declare expressamente que o Controle Interno Estrutura Integrada continua sendo uma estrutura aceitvel para o cumprimento da Seo 404 do Ato Sarbanes-Oxley de 2002, e que a publicao do Gerenciamento de Riscos Corporativos Estrutura Integrada no exija que as Companhias o utilizem para cumprir a Seo 404. Concluiu-se que a reconciliao do Gerenciamento de Riscos Corporativos Estrutura Integrada est alm do alcance do presente projeto. No que diz respeito ao cumprimento dos requisitos da Seo 404 do Ato Sarbanes-Oxley, COSO comunica pelo Prefcio desse relatrio, que Gerenciamento de Riscos Corporativos Estrutura Integrada continua implementado e consultado devidamente como base para informaes, em atendimento a determinados requisitos legais, como o caso do Ato Sarbanes-Oxley de 2002.

129

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Orientao da Aplicao
Alguns leitores recomendam a incluso de contedo especfico para o volume de orientao da aplicao. Outros sugerem a incluso de um ou mais estudos de caso para facilitar a implementao da estrutura por organizaes de portes variados. Alm disso, sugerem que o documento da Estrutura e o da orientao da aplicao apresentem vnculos para o cruzamento de referncias. Concluiu-se que o volume de orientao da aplicao deve conter determinados itens de contedo, inclusive ilustraes de como as organizaes podero aplicar conceitos especficos descritos no documento da Estrutura. O relatrio final contm essas informaes, a despeito do fato que se decidiu no ser vivel identificar ou desenvolver um estudo de caso para ilustrar a aplicao de todos os conceitos da Estrutura e que faz-lo vai alm do alcance desse projeto. Como o enfoque mais ntido do contedo desse volume, decidiu-se que o ttulo Tcnicas de Aplicao seria mais apropriado, aps ter sido submetido s revises necessrias. Alm disso, foram includos vnculos referenciais do documento Tcnicas de Aplicao para o da Estrutura.

130

PricewaterhouseCoopers

Apndice E - Considerao aos Comentrios Recebidos

F. Glossrio

Controles de Aplicativos procedimentos programados em um aplicativo de software e procedimentos manuais associados que so destinados a assegurar sua completude e exatido do processamento das informaes. Os exemplos incluem verificaes computadorizadas da edio de dados de entrada, verificaes da seqncia numrica e dos procedimentos manuais para o acompanhamento dos itens relacionados nos relatrios de exceo. Conformidade empregado com os objetivos e relacionado com o cumprimento de leis e regulamentos aplicveis. Componentes h oito componentes do gerenciamento de riscos corporativos: o ambiente interno da organizao, a fixao de objetivos, a identificao de eventos, a avaliao de riscos, a resposta a riscos, as atividades de controle, as informaes e as comunicaes e o Monitoramento. Controle 1. Substantivo que denota um item, por exemplo, a existncia de um controle, a poltica ou o procedimento que faz parte do controle interno. O controle pode existir em qualquer um dos oito componentes. 2. Substantivo que indica um estado ou uma condio, por exemplo, efetuar um controle o resultado de polticas e procedimentos destinados ao controle; esse resultado poder ou no ser um controle interno eficaz. 3. Verbo, por exemplo, controlar regular, estabelecer ou implementar uma poltica que efetue controle. Critrios Um conjunto de normas em relao s quais o gerenciamento de riscos corporativos pode ser mensurado para a determinao de sua eficcia. Os oito componentes do gerenciamento de riscos corporativos, considerados no contexto das suas limitaes inerentes, representam critrios para sua eficcia em relao a cada uma das quatro categorias de objetivos.

Deficincia Condio no gerenciamento de riscos corporativos que merece ateno e que pode representar uma desvantagem percebida, em potencial ou real, ou uma oportunidade de fortalecer o processo de gerenciamento de riscos corporativos, de modo a possibilitar uma maior probabilidade que os objetivos da organizao sero alcanados. Desenho 1. Propsito. Conforme utilizado na definio, gerenciamento de riscos corporativos tem a finalidade de identificar os eventos em potencial capazes de afetar a empresa e gerenciar o risco de modo a mant-lo em conformidade com o apetite a riscos da referida organizao, possibilitar garantia razovel em relao realizao dos objetivos. 2. Plano; o modo pelo qual um processo deve operar, em comparao ao modo pelo qual efetivamente opera. Efetivo Usado quando o gerenciamento de riscos corporativos: concebido e operado. Processo de Gerenciamento de Riscos Corporativos Sinnimo de gerenciamento de riscos corporativos aplicado em uma organizao. Entidade Uma organizao de qualquer porte estabelecida para o atendimento de uma determinada finalidade. A entidade poder ser, por exemplo, uma empresa comercial, uma organizao sem fins lucrativos, um rgo do governo ou uma instituio acadmica. Entre os termos empregados como sinnimos esto organizao e empresa. Evento Incidente ou ocorrncia, a partir de fontes internas ou externas a uma entidade, capaz de afetar a realizao dos objetivos.

131

Gerenciamento de Riscos Corporativos - Estrutura Integrada

Controles Gerais Polticas e procedimentos que contribuem para assegurar uma operao continuada e adequada dos sistemas de informtica. Incluem os controles sobre o gerenciamento da tecnologia de informaes, a infra-estrutura da tecnologia da informao, a administrao da segurana e aquisio, o desenvolvimento e a manuteno de software. Os controles gerais do suporte ao funcionamento dos controles de aplicaes programados. Outros termos tambm empregados para descrever os controles gerais so controles gerais de computador ou controles de tecnologia da informao. Impacto Resultado ou efeito de um evento. Poder haver uma srie de impactos possveis associados a um evento. O impacto de um evento pode ser positivo ou negativo em relao aos objetivos correlatos de uma empresa. Limitaes Inerentes Limitaes do gerenciamento de riscos corporativos. Dizem respeito a limitaes do julgamento humano; restries de recursos e a necessidade de se considerarem os controles de custos em relao aos benefcios esperados; a realidade que podem ocorrer falhas; e a possibilidade de neutralizao de controles e de conluio pela administrao. Risco Inerente O risco que se apresenta a uma organizao na ausncia de qualquer medida gerencial que poderia alterar a probabilidade ou o impacto de um risco. Integridade A qualidade ou o estado de possuir princpios morais ntegros; retido, honestidade e sinceridade; o desejo de fazer aquilo que certo, professar e viver de acordo com uma srie de valores e expectativas.

Controle Interno Processo efetuado pelo conselho, administrao ou qualquer outro funcionrio de uma empresa, desenhado para fornecer garantia razovel em relao realizao dos objetivos nas seguintes categorias: Eficcia e eficincia das operaes. Confiabilidade dos relatrios financeiros. Conformidade com leis e regulamentos aplicveis. Sistema de Controle Interno Sinnimo de controle interno aplicado a uma organizao. Probabilidade - A possibilidade de ocorrncia de um dado evento. Os termos podem adquirir conotaes mais especficas como indicar possibilidade de que um dado evento ocorrer em termos qualitativos, como elevada, mdia e reduzida, ou outras escalas de julgamento; e probabilidade indicando uma medida quantitativa, como porcentagem, freqncia de ocorrncia ou outra unidade numrica de medida. Interveno da Administrao As medidas adotadas pela administrao para neutralizar polticas ou procedimentos estipulados com fins legtimos; a interveno da administrao geralmente necessria para tratar de eventos ou transaes no recorrentes e no padronizadas ou eventos que, de outro modo, poderiam ser tratados inadequadamente pelo sistema (contrastar esse termo com Neutralizao pela Administrao). Neutralizao pela Administrao A neutralizao de polticas ou procedimentos estipulados com finalidades escusas. Com a inteno de obter vantagens pessoais ou apresentao indevidamente melhorada das condies financeiras da organizao, ou da sua situao quanto ao cumprimento de regulamentaes e leis (contrastar esse termo com Interveno da Administrao).

132

PricewaterhouseCoopers

Apndice E - Considerao aos Comentrios Recebidos

Processo de Gerenciamento O conjunto de medidas adotadas pela administrao para operar uma organizao. O gerenciamento de riscos corporativos faz parte do processo de gerenciamento, estando integrado a ele. Controles Manuais Controles executados manualmente, no por computador. Categoria de Objetivos Uma das quatro categorias de objetivos de uma organizao estratgicos, eficcia e eficincia operacionais, confiabilidade dos relatrios e cumprimento de leis e regulamentos cabveis. As categorias sobrepem-se. Assim, um determinado objetivo poder classificar-se em mais de uma categoria. Operaes Utilizado com os objetivos e relacionado com a eficcia e a eficincia das atividades de uma organizao, inclusive das metas de desempenho e de lucro, e salvaguarda dos recursos contra prejuzos. Oportunidade A possibilidade que um evento ocorrer e afetar favoravelmente a realizao dos objetivos. Poltica A administrao estabelece aquilo que dever ser feito para efetuar o controle. Uma poltica serve de base para a definio dos procedimentos e sua implementao. Procedimento Uma ao que implementa uma poltica. Garantia Razovel O conceito que o gerenciamento de riscos corporativos, independentemente de seu desenho e sua operao, no capaz de propiciar uma garantia em relao realizao dos objetivos de uma organizao. Isso ocorre em razo das Limitaes Inerentes do gerenciamento de riscos corporativos.

Comunicao Utilizado com os objetivos e relacionado com o grau de confiabilidade dos relatrios de uma organizao, inclusive o relato interno e externo de informaes financeiras e no-financeiras. Risco Residual O risco que resta aps a administrao ter adotado medidas para alterar a probabilidade ou o impacto dos riscos. Risco A possibilidade de que um evento ocorra e afete desfavoravelmente a realizao dos objetivos. Apetite a Riscos A quantidade total de riscos que uma companhia ou outra organizao est disposta a aceitar na busca de sua misso (ou viso). Tolerncia a Riscos A variao aceitvel relativa realizao de um objetivo. Partes Interessadas Partes que so afetadas pela organizao, como os acionistas, as comunidades nas quais a organizao opera, os empregados, os clientes e os fornecedores. Estratgico Utilizado em conjunto com objetivo e relacionado com as metas de nvel elevado que se alinham misso (ou viso) da organizao, propiciando-lhe suporte. Incerteza Incapacidade de conhecer antecipadamente a probabilidade exata ou o impacto de eventos futuros.

133

Apndice G - Agradecimentos

G. Agradecimentos

O Conselho do COSO, Conselho Consultivo e PricewaterhouseCoopers LLP, reconhecem com gratido a colaborao dos inmeros executivos, legisladores, agentes normativos, acadmicos e outros que dedicaram seu tempo e sua energia participando e contribuindo para os diversos aspectos desse estudo. Reconhecemos, tambm, a inestimvel colaborao das organizaes e dos membros do COSO que participaram de pesquisas, seminrios e reunies, oferecendo comentrios e feedback durante todo o processo de desenvolvimento dessa estrutura. Os seguintes scios da PricewaterhouseCoopers forneceram importantes sugestes essa estrutura: Dick Anderson, Jeffrey Boyle, Gleen Brady, Michael Bridge, John Bromfield, Gary Chamblee, Nicholas Chipman, John Copley, Michael de Crespigny, Stephen Delvecchio, Scott Dillman, P. Gregory Garrison, Bruno Gasser, Susan Kenney, Brian Kinman, Robert Lamoureux, James La Torre, Mike Maali, Jorge Manoel, Cathy Mckeon, Juan Pujadas, Richard Reynolds, Mark Stephen, Robert Sullivan, Jeffrey Thompson e Shyam Venkat. As seguintes pessoas tambm contriburam com esse estudo: Michael Haubenstock, Diretor de Gerenciamento de riscos corporativos, Capital One Finance Corporation; Adrienne Willich, Gerente de Riscos Operacionais, Capital One Finance Corporation; e Daniel Mudge, Presidente e Responsvel por Operaes de OpVantage, Richard A. Scott, William G. Shenkir e Paul L Walker da Universidade de Virgnia que conduziram as pesquisas preliminares que conduziram a esse estudo. Agradecemos, tambm, a Myra Clearly pela orientao editorial. Nossos especiais agradecimentos a William H. Bishop, III, Presidente do Institute of Internal Auditors, que at o seu falecimento trabalhou incansavelmente para otimizar a funo e o status da profisso de auditoria. A participao de William H. Bishop, III, nesse projeto e no projeto da estrutura de controle interno do COSO contribuiu para a melhoria dos relatrios. O colega e amigo sempre ser lembrado.

135